本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
下列主題說明 Amazon MWAA 如何保護靜態和傳輸中的資料。使用此資訊來了解 Amazon MWAA 如何與 整合 AWS KMS 以加密靜態資料,以及如何使用傳輸中的 Transport Layer Security (TLS) 通訊協定加密資料。
靜態加密
在 Amazon MWAA 上,靜態資料是服務儲存至持久性媒體的資料。
您可以使用 AWS 擁有的金鑰進行靜態資料加密,或者選擇性地在建立環境時提供客戶受管金鑰以進行其他加密。如果您選擇使用客戶受管 KMS 金鑰,它必須與您搭配環境使用的其他 AWS 資源和服務位於相同的 帳戶中。
若要使用客戶受管 KMS 金鑰,您必須將 CloudWatch 存取所需的政策陳述式連接至您的金鑰政策。當您針對環境使用客戶受管 KMS 金鑰時,Amazon MWAA 會代表您連接四個授權。如需授予 Amazon MWAA 連接至客戶受管 KMS 金鑰的詳細資訊,請參閱資料加密的客戶受管金鑰。
如果您未指定客戶受管 KMS 金鑰,根據預設,Amazon MWAA 會使用 AWS 擁有的 KMS 金鑰來加密和解密您的資料。建議使用 AWS 擁有的 KMS 金鑰來管理 Amazon MWAA 上的資料加密。
注意
您需為 Amazon MWAA 上 AWS 擁有或客戶受管 KMS 金鑰的儲存和使用付費。如需詳細資訊,請參閱 AWS KMS 定價
加密成品
您可以在建立 Amazon MWAA 環境時指定 AWS 擁有的金鑰或客戶受管金鑰,以指定用於靜態加密的加密成品。Amazon MWAA 會將所需的授予新增至您指定的金鑰。
Amazon S3 – Amazon S3 資料會在物件層級使用伺服器端加密 (SSE) 進行加密。Amazon S3 加密和解密會在存放 DAG 程式碼和支援檔案的 Amazon S3 儲存貯體上進行。物件上傳到 Amazon S3 時會加密,下載到 Amazon MWAA 環境時會解密。根據預設,如果您使用客戶受管 KMS 金鑰,Amazon MWAA 會使用它來讀取和解密 Amazon S3 儲存貯體上的資料。
CloudWatch Logs – 如果您使用的是 AWS 擁有的 KMS 金鑰,傳送至 CloudWatch Logs 的 Apache Airflow 日誌會使用伺服器端加密 (SSE) 搭配 CloudWatch Logs AWS 擁有的 KMS 金鑰進行加密。如果您使用客戶受管 KMS 金鑰,則必須將金鑰政策新增至 KMS 金鑰,以允許 CloudWatch Logs 使用您的金鑰。
Amazon SQS – Amazon MWAA 會為您的環境建立一個 Amazon SQS 佇列。Amazon MWAA 會使用伺服器端加密 (SSE) 搭配 AWS 擁有的 KMS 金鑰或您指定的客戶受管 KMS 金鑰,來加密進出佇列的資料。無論您使用的是 AWS 擁有還是客戶管理的 KMS 金鑰,都必須將 Amazon SQS 許可新增至執行角色。
Aurora PostgreSQL – Amazon MWAA 會為您的環境建立一個 PostgreSQL 叢集。Aurora PostgreSQL 會使用伺服器端加密 (SSE),使用 AWS 擁有或客戶受管的 KMS 金鑰來加密內容。如果您使用的是客戶受管 KMS 金鑰,Amazon RDS 會新增至少兩個授權至金鑰:一個授權給叢集,另一個授權給資料庫執行個體。如果您選擇在多個環境中使用客戶受管 KMS 金鑰,Amazon RDS 可能會建立額外的授權。如需詳細資訊,請參閱 Amazon RDS 中的資料保護。
傳輸中加密
傳輸中的資料稱為資料,可能會在其通過網路時遭到攔截。
Transport Layer Security (TLS) 會加密環境 Apache Airflow 元件與其他與 Amazon MWAA 整合之 AWS 服務之間傳輸的 Amazon MWAA 物件,例如 Amazon S3。如需 Amazon S3 加密的詳細資訊,請參閱使用加密保護資料。
