Datenschutz bei Amazon Data Firehose - Amazon Data Firehose
Serverseitige Verschlüsselung mit Kinesis Data StreamsServerseitige Verschlüsselung mit Direct PUT oder anderen Datenquellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz bei Amazon Data Firehose

Amazon Data Firehose verschlüsselt alle Daten während der Übertragung mithilfe eines TLS Protokolls. Darüber hinaus verschlüsselt Amazon Data Firehose Daten, die während der Verarbeitung im Zwischenspeicher gespeichert werden, mithilfe einer Prüfsummenüberprüfung AWS Key Management Serviceund überprüft deren Integrität.

Wenn Sie vertrauliche Daten haben, können Sie die serverseitige Datenverschlüsselung aktivieren, wenn Sie Amazon Data Firehose verwenden. Wie Sie dazu vorgehen, hängt von der Quelle Ihrer Daten ab.

Anmerkung

Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine andere FIPS 140-2 validierte kryptografische Module benötigen, verwenden Sie einen API Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard () 140-2. FIPS

Serverseitige Verschlüsselung mit Kinesis Data Streams

Wenn Sie Daten von Ihren Datenproduzenten an Ihren Datenstream senden, verschlüsselt Kinesis Data Streams Ihre Daten mit einem AWS Key Management Service (AWS KMS) -Schlüssel, bevor die Daten im Ruhezustand gespeichert werden. Wenn Ihr Firehose-Stream die Daten aus Ihrem Datenstream liest, entschlüsselt Kinesis Data Streams zuerst die Daten und sendet sie dann an Amazon Data Firehose. Amazon Data Firehose puffert die Daten im Speicher auf der Grundlage der von Ihnen angegebenen Pufferhinweise. Dann liefert es sie ans Ziel, ohne die unverschlüsselten Daten im Ruhezustand zu speichern.

Informationen zur Aktivierung der serverseitigen Verschlüsselung für Kinesis Data Streams finden Sie unter Verwenden der serverseitigen Verschlüsselung im Entwicklerhandbuch zu Amazon Kinesis Data Streams.

Serverseitige Verschlüsselung mit Direct PUT oder anderen Datenquellen

Wenn Sie Daten mit oder an Ihren Firehose-Stream senden PutRecordBatch, PutRecordoder wenn Sie die Daten mithilfe von AWS IoT Amazon CloudWatch Logs oder CloudWatch Events senden, können Sie die serverseitige Verschlüsselung mithilfe des StartDeliveryStreamEncryptionVorgangs aktivieren.

Verwenden Sie den Vorgang server-side-encryption, um den StopDeliveryStreamEncryptionVorgang zu beenden.

Sie können es auch aktivierenSSE, wenn Sie den Firehose-Stream erstellen. Geben Sie dazu an, DeliveryStreamEncryptionConfigurationInputwann Sie aufrufen CreateDeliveryStream.

Wenn der Typ vom Typ CMK CUSTOMER_MANAGED_CMK ist und der Amazon Data Firehose-Service aufgrund von aKMSNotFoundException, a, a oder a nicht in der Lage istKMSInvalidStateException, Datensätze zu entschlüsselnKMSAccessDeniedException, wartet der Service bis zu 24 Stunden (die Aufbewahrungsfrist), bis Sie das Problem behoben haben. KMSDisabledException Wenn das Problem über den Aufbewahrungszeitraum hinaus fortbesteht, überspringt der Service die Datensätze, die den Aufbewahrungszeitraum überschritten haben und nicht entschlüsselt werden konnten, und verwirft dann die Daten. Amazon Data Firehose bietet die folgenden vier CloudWatch Metriken, mit denen Sie die vier AWS KMS Ausnahmen verfolgen können:

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

Weitere Informationen zu diesen vier Metriken finden Sie unter Überwachen Sie Amazon Data Firehose mit Metriken CloudWatch .

Wichtig

Verwenden Sie symmetrisch, um Firehose Firehose-Stream zu verschlüsseln. CMKs Amazon Data Firehose unterstützt keine AsymmetrieCMKs. Informationen zu symmetrisch und asymmetrisch finden Sie unter About Symmetric CMKs and Asymmetric im Entwicklerhandbuch. CMKs AWS Key Management Service

Anmerkung

Wenn Sie einen vom Kunden verwalteten Schlüssel (CUSTOMER_ MANAGED _CMK) verwenden, um die serverseitige Verschlüsselung (SSE) für Ihren Firehose-Stream zu aktivieren, legt der Firehose-Dienst bei jeder Verwendung Ihres Schlüssels einen Verschlüsselungskontext fest. Da dieser Verschlüsselungskontext ein Ereignis darstellt, bei dem ein Schlüssel verwendet wurde, der Ihrem AWS Konto gehört, wird er als Teil der AWS CloudTrail Ereignisprotokolle für Ihr Konto protokolliert. AWS Dieser Verschlüsselungskontext wird vom System vom Firehose-Dienst generiert. Ihre Anwendung sollte keine Annahmen über das Format oder den Inhalt des vom Firehose-Dienst festgelegten Verschlüsselungskontextes treffen.