什麼是 Kinesis Data Streams 的伺服器端加密? - Amazon Kinesis Data Streams

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 Kinesis Data Streams 的伺服器端加密?

伺服器端加密是 Amazon Kinesis Data Streams 中的一項功能,它使用您指定的 AWS KMS 客戶主金鑰 (CMK),在資料處於靜態之前自動加密資料。資料會在寫入 Kinesis 串流儲存層之前加密,並在從儲存體擷取後解密。因此,您的資料將於 Kinesis Data Streams 服務中呈靜態狀態下進行加密。這樣您就能夠符合嚴格的法規要求並增強資料的安全性。

有了伺服器端加密,您的 Kinesis 串流生產者及取用者就不需要管理主金鑰或密碼編譯操作。您的資料會在進入和離開 Kinesis Data Streams 服務時自動加密,因此靜態資料會加密。 AWS KMS 提供伺服器端加密功能所使用的所有主金鑰。 AWS KMS 可讓您輕鬆地使用由 AWS、使用者指定的 AWS KMS CMK 或匯入 AWS KMS 服務的主金鑰管理的 Kinesis CMK。

注意

伺服器端加密僅在啟用加密後對傳入資料加密。啟用伺服器端加密後,未加密的串流中既有的資料並不會加密。

加密資料串流並分享存取權給其他主體時,您必須在外部帳戶中的金鑰政策和 IAM AWS KMS 政策的金鑰政策中授予許可。如需詳細資訊,請參閱允許其他帳戶中的使用者使用 KMS 金鑰

如果您已為具有 AWS 受管 KMS 金鑰的資料串流啟用伺服器端加密,並想要透過資源政策共用存取權,則必須切換到使用客戶受管金鑰 (CMK),如下所示:

Encryption settings interface with options for server-side encryption and customer-managed CMK.

此外,您必須允許共用主體實體以使用 KMS 跨帳戶共用功能來存取您的 CMK。請務必同時在共用主體實體的 IAM 政策中進行變更。如需詳細資訊,請參閱允許其他帳戶中的使用者使用 KMS 金鑰