Protección de datos en Amazon Data Firehose - Amazon Data Firehose
Cifrado del lado del servidor con Kinesis Data StreamsCifrado del lado del servidor con fuentes de datos directas o de otro tipo PUT

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Amazon Data Firehose

Amazon Data Firehose cifra todos los datos en tránsito mediante un protocolo. TLS Además, para los datos almacenados en un almacenamiento provisional durante el procesamiento, Amazon Data Firehose cifra los datos AWS Key Management Servicey verifica su integridad mediante la verificación por suma de control.

Si tiene datos confidenciales, puede activar el cifrado de datos del lado del servidor cuando utilice Amazon Data Firehose. La forma de hacerlo dependerá del origen de los datos.

nota

Si necesita entre FIPS 140 y 2 módulos criptográficos validados para acceder a AWS través de una interfaz de línea de comandos o una, utilice un API punto final. FIPS Para obtener más información sobre los FIPS puntos finales disponibles, consulte la Norma federal de procesamiento de información () FIPS 140-2.

Cifrado del lado del servidor con Kinesis Data Streams

Cuando envía datos de sus productores de datos a su flujo de datos, Kinesis Data Streams cifra los datos mediante AWS Key Management Service una clave AWS KMS() antes de almacenarlos en reposo. Cuando la transmisión Firehose lee los datos de la transmisión de datos, Kinesis Data Streams primero descifra los datos y, a continuación, los envía a Amazon Data Firehose. Amazon Data Firehose almacena en búfer los datos de la memoria en función de las sugerencias de almacenamiento en búfer que especifique. A continuación, los envía a los destinos sin tener que almacenar los datos no cifrados en reposo.

Para obtener información sobre cómo habilitar el cifrado del servidor para Kinesis Data Streams, consulte Using Server-Side Encryption en la Guía para desarrolladores de Amazon Kinesis Data Streams.

Cifrado del lado del servidor con fuentes de datos directas o de otro tipo PUT

Si envías datos a tu transmisión de Firehose mediante Amazon Logs PutRecordo Events PutRecordBatch, o si envías los datos mediante AWS IoT Amazon CloudWatch Logs o CloudWatch Events, puedes activar el cifrado del lado del servidor mediante esta operación. StartDeliveryStreamEncryption

Para detenerlo server-side-encryption, usa la operación. StopDeliveryStreamEncryption

También puedes activarlo SSE al crear la transmisión Firehose. Para ello, especifica DeliveryStreamEncryptionConfigurationInputcuándo se invoca CreateDeliveryStream.

Cuando CMK es del tipoCUSTOMER_MANAGED_CMK, si el servicio Amazon Data Firehose no puede descifrar los registros debido a una KMSNotFoundExceptionKMSInvalidStateException, a, a o a KMSDisabledExceptionKMSAccessDeniedException, el servicio espera hasta 24 horas (el período de retención) para que resuelva el problema. Si el problema continúa después del periodo de retención, el servicio omite los registros que han superado el periodo de retención y no se pudieron descifrar y, a continuación, descarta los datos. Amazon Data Firehose proporciona las siguientes cuatro CloudWatch métricas que puede utilizar para realizar un seguimiento de las cuatro AWS KMS excepciones:

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

Para obtener más información sobre estas métricas, consulte Supervise Amazon Data Firehose con métricas CloudWatch .

importante

Para cifrar tu transmisión de Firehose, usa symmetric. CMKs Amazon Data Firehose no admite la asimetría. CMKs Para obtener información acerca de lo simétrico y lo asimétricoCMKs, consulte Acerca de lo simétrico y lo CMKs asimétrico en la guía para desarrolladores. AWS Key Management Service

nota

Cuando utilizas una clave gestionada por el cliente (CUSTOMER_ MANAGED _CMK) para habilitar el cifrado del lado del servidor (SSE) para tu transmisión de Firehose, el servicio Firehose establece un contexto de cifrado siempre que utilice tu clave. Como este contexto de cifrado representa un caso en el que se utilizó una clave propiedad de tu AWS cuenta, se registra como parte de los registros de AWS CloudTrail eventos de tu cuenta. AWS Este contexto de cifrado es un sistema generado por el servicio Firehose. Su aplicación no debe hacer suposiciones sobre el formato o el contenido del contexto de cifrado establecido por el servicio Firehose.