Protección de datos en Amazon Kinesis Data Firehose - Amazon Kinesis Data Firehose

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Amazon Kinesis Data Firehose

Si tiene información confidencial, puede activar el cifrado de datos en el lado del servidor al utilizar Amazon Kinesis Data Firehose. La forma de hacerlo dependerá del origen de los datos.

nota

Si necesita módulos criptográficos validados FIPS 140-2 al obtener acceso a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de enlace de FIPS. Para obtener más información acerca de los puntos de enlace de FIPS disponibles, consulte. Norma federal de procesamiento de información (FIPS) 140-2.

Cifrado del lado del servidor con Kinesis Data Streams como origen de datos

Al configurar un flujo de datos de Kinesis como origen de datos de un flujo de entrega de Kinesis Data Firehose, Kinesis Data Firehose deja de almacenar los datos en reposo. En lugar de eso, los datos se almacenan en el flujo de datos.

Al enviar datos desde los productores de datos a un flujo de datos, Kinesis Data Streams cifra los datos con una clave de AWS Key Management Service (AWS KMS) antes de almacenarlos en reposo. Cuando el flujo de entrega de Kinesis Data Firehose lee los datos del flujo de datos, Kinesis Data Streams primero descifra los datos y, a continuación, los envía a Kinesis Data Firehose. Kinesis Data Firehose almacena en búfer los datos en memoria según las sugerencias de almacenamiento en búfer que especifique. A continuación, los envía a los destinos sin tener que almacenar los datos no cifrados en reposo.

Para obtener más información acerca de cómo activar el cifrado del lado del servidor para Kinesis Data Streams, consulte Uso del cifrado en el servidor en la Guía para desarrolladores de Amazon Kinesis Data Streams.

Cifrado del lado del servidor con Direct PUT u otros orígenes de datos

Si envía datos a su secuencia de entrega de mediante PutRecord o bien PutRecordBatcho si envía los datos mediante AWS IoTde Amazon CloudWatch Logs, o bien Eventos de CloudWatch, puede activar el cifrado del lado del servidor mediante la StartDeliveryStreamEncryption operación.

Para detener el cifrado del lado del servidor, utilice la StopDeliveryStreamEncryption operación.

También puede habilitar SSE al crear el flujo de entrega. Para ello, especifique DeliveryStreamEncryptionConfigurationInput cuando se invoca CreateDeliveryStream.

Cuando la CMK es de tipo CUSTOMER_MANAGED_CMK, si el servicio de Amazon Kinesis Data Firehose no puede descifrar registros debido a una excepción KMSNotFoundException, KMSInvalidStateException, KMSDisabledException o KMSAccessDeniedException, el servicio espera hasta 24 horas (el período de retención) para resolver el problema. Si el problema continúa después del periodo de retención, el servicio omite los registros que han superado el periodo de retención y no se pudieron descifrar y, a continuación, descarta los datos. Amazon Kinesis Data Firehose proporciona las cuatro métricas de CloudWatch siguientes que puede utilizar para realizar un seguimiento de las cuatro excepciones de AWS KMS:

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

Para obtener más información sobre estas métricas, consulte Monitorización de Kinesis Data Firehose con métricas de CloudWatch.

importante

Para cifrar la secuencia de entrega de , utilice simétrico CMKs. Kinesis Data Firehose no es compatible con la asimetría CMKs. Para obtener información sobre simétrico y asimétrico CMKs, consulte Acerca de Simétrico y asimétrico CMKs en el AWS Key Management Service del desarrollador de.