Protección de datos en Amazon Data Firehose - Amazon Data Firehose
Cifrado del servidor con Kinesis Data Streams como origen de datosCifrado del lado del servidor con Direct PUT u otros orígenes de datos

Amazon Data Firehose se conocía anteriormente como Amazon Kinesis Data Firehose

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Amazon Data Firehose

Amazon Data Firehose cifra todos los datos en tránsito mediante el protocolo TLS. Además, para los datos almacenados en un almacenamiento provisional durante el procesamiento, Amazon Data Firehose cifra los datos AWS Key Management Servicey verifica su integridad mediante la verificación por suma de control.

Si tiene datos confidenciales, puede activar el cifrado de datos del lado del servidor cuando utilice Amazon Data Firehose. La forma de hacerlo dependerá del origen de los datos.

nota

Si necesita módulos criptográficos validados por FIPS 140-2 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto de conexión FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Cifrado del servidor con Kinesis Data Streams como origen de datos

Cuando envía datos de sus productores de datos a su transmisión de datos, Kinesis Data Streams cifra los datos mediante AWS Key Management Service una clave AWS KMS() antes de almacenarlos en reposo. Cuando la transmisión de Amazon Data Firehose lee los datos de la transmisión de datos, Kinesis Data Streams primero descifra los datos y, a continuación, los envía a Amazon Data Firehose. Amazon Data Firehose almacena en búfer los datos de la memoria en función de las sugerencias de almacenamiento en búfer que especifique. A continuación, los envía a los destinos sin tener que almacenar los datos no cifrados en reposo.

Para obtener información sobre cómo habilitar el cifrado del servidor para Kinesis Data Streams, consulte Using Server-Side Encryption en la Guía para desarrolladores de Amazon Kinesis Data Streams.

Cifrado del lado del servidor con Direct PUT u otros orígenes de datos

Si envías datos a tu transmisión de Firehose mediante Amazon Logs PutRecordo Events PutRecordBatch, o si envías los datos mediante AWS IoT Amazon CloudWatch Logs o CloudWatch Events, puedes activar el cifrado del lado del servidor mediante esta operación. StartDeliveryStreamEncryption

Para detenerlo server-side-encryption, usa la operación. StopDeliveryStreamEncryption

También puedes habilitar SSE al crear la transmisión Firehose. Para ello, especifica DeliveryStreamEncryptionConfigurationInputcuándo se invoca CreateDeliveryStream.

Cuando el CMK es de tipoCUSTOMER_MANAGED_CMK, si el servicio Amazon Data Firehose no puede descifrar los registros debido a a, KMSNotFoundException a, KMSInvalidStateException a o KMSDisabledException KMSAccessDeniedException a, el servicio espera hasta 24 horas (el período de retención) para que resuelva el problema. Si el problema continúa después del periodo de retención, el servicio omite los registros que han superado el periodo de retención y no se pudieron descifrar y, a continuación, descarta los datos. Amazon Data Firehose proporciona las siguientes cuatro CloudWatch métricas que puede utilizar para realizar un seguimiento de las cuatro AWS KMS excepciones:

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

Para obtener más información sobre estas métricas, consulte Supervisión de Amazon Data Firehose mediante métricas CloudWatch .

importante

Para cifrar tu transmisión de Firehose, usa CMK simétricas. Amazon Data Firehose no admite CMK asimétricas. Para obtener información sobre las CMK simétricas y asimétricas, consulte Acerca de las CMK simétricas y asimétricas en la guía para desarrolladores. AWS Key Management Service

nota

Cuando utilizas una clave gestionada por el cliente (CUSTOMER_MANAGED_CMK) para habilitar el cifrado del lado del servidor (SSE) para el flujo de entrega de Firehose, el servicio Firehose establece un contexto de cifrado siempre que utilice tu clave. Como este contexto de cifrado representa un caso en el que se utilizó una clave propiedad de tu AWS cuenta, se registra como parte de los registros de eventos de tu cuenta. AWS CloudTrail AWS Este contexto de cifrado es un sistema generado por el servicio Firehose. Su aplicación no debe hacer suposiciones sobre el formato o el contenido del contexto de cifrado establecido por el servicio Firehose.