MSKAmazon-Verschlüsselung - Amazon Managed Streaming für Apache Kafka
Verschlüsselung im RuhezustandVerschlüsselung während der Übertragung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

MSKAmazon-Verschlüsselung

Amazon MSK bietet Datenverschlüsselungsoptionen, mit denen Sie strenge Datenverwaltungsanforderungen erfüllen können. Die Zertifikate, die Amazon für die Verschlüsselung MSK verwendet, müssen alle 13 Monate erneuert werden. Amazon erneuert diese Zertifikate MSK automatisch für alle Cluster. Der Status des Clusters wird auf MAINTENANCE festgelegt, wenn er die Operation „certificate-update“ startet. Es wird auf ACTIVE zurückgesetzt, wenn das Update abgeschlossen ist. Während sich ein Cluster im Status MAINTENANCE befindet, können Sie weiterhin Daten erstellen und verwenden, Sie können jedoch keine Aktualisierungsvorgänge für ihn ausführen.

Verschlüsselung im Ruhezustand

Amazon MSK integriert sich in AWS Key Management Service(KMS), um eine transparente serverseitige Verschlüsselung zu bieten. Amazon verschlüsselt Ihre Daten im Ruhezustand MSK immer. Wenn Sie einen MSK Cluster erstellen, können Sie den angeben AWS KMS key , den Amazon MSK zur Verschlüsselung Ihrer Daten im Ruhezustand verwenden soll. Wenn Sie keinen KMS Schlüssel angeben, MSK erstellt Amazon einen Von AWS verwalteter Schlüsselfür Sie und verwendet ihn in Ihrem Namen. Weitere Informationen zu KMS Schlüsseln finden Sie AWS KMS keysim AWS Key Management Service Entwicklerhandbuch.

Verschlüsselung während der Übertragung

Amazon MSK verwendet TLS 1.2. Standardmäßig verschlüsselt es Daten, die zwischen den Brokern Ihres MSK Clusters übertragen werden. Sie können diese Standardeinstellung beim Erstellen des Clusters außer Kraft setzen.

Für die Kommunikation zwischen Clients und Brokern müssen Sie eine der folgenden drei Einstellungen angeben:

  • Erlaube nur TLS verschlüsselte Daten. Dies ist die Standardeinstellung.

  • Erlaubt sowohl Klartext- als auch TLS verschlüsselte Daten.

  • Nur Klartextdaten zulassen

MSKAmazon-Broker verwenden öffentliche AWS Certificate Manager Zertifikate. Daher vertraut jeder Truststore, der Amazon Trust Services vertraut, auch den Zertifikaten von Amazon-Brokern. MSK

Wir empfehlen zwar dringend, die Verschlüsselung während der Übertragung zu aktivieren, dies kann jedoch zu zusätzlichem CPU Overhead und einer Latenz von einigen Millisekunden führen. Die meisten Anwendungsfälle reagieren jedoch nicht empfindlich auf diese Unterschiede, und das Ausmaß der Auswirkungen hängt von der Konfiguration Ihres Clusters, Ihrer Clients und Ihres Nutzungsprofils ab.