Protección de datos en Amazon Data Firehose

Amazon Data Firehose cifra todos los datos en tránsito mediante el protocolo TLS. Además, en el caso de los datos almacenados en un almacenamiento provisional durante el procesamiento, Amazon Data Firehose cifra los datos mediante AWS Key Management Service y verifica su integridad con la verificación por suma de comprobación.

Si tiene datos confidenciales, puede habilitar el cifrado de datos del servidor al utilizar Amazon Data Firehose. La forma de hacerlo dependerá del origen de los datos.

nota

Si necesita módulos criptográficos validados por FIPS 140-2 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un terminal FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Cifrado del servidor con Kinesis Data Streams

Cuando envía datos de sus productores de datos a su flujo de datos, Kinesis Data Streams cifra los datos mediante AWS Key Management Service una clave AWS KMS() antes de almacenarlos en reposo. Cuando el flujo de Firehose lee los datos del flujo de datos, Kinesis Data Streams primero descifra los datos y, a continuación, los envía a Amazon Data Firehose. Amazon Data Firehose almacena los datos en la memoria búfer en función de las sugerencias de almacenamiento en búfer que se hayan especificado. A continuación, los envía a los destinos sin tener que almacenar los datos no cifrados en reposo.

Para obtener información sobre cómo habilitar el cifrado del servidor para Kinesis Data Streams, consulte Using Server-Side Encryption en la Guía para desarrolladores de Amazon Kinesis Data Streams.

Cifrado del servidor con Direct PUT u otros orígenes de datos

Si envías datos a tu transmisión de Firehose mediante Amazon Logs PutRecordo Events PutRecordBatch, o si envías los datos mediante AWS IoT Amazon CloudWatch Logs o CloudWatch Events, puedes activar el cifrado del lado del servidor mediante esta operación. StartDeliveryStreamEncryption

Para detenerlo server-side-encryption, usa la operación. StopDeliveryStreamEncryption

También puede habilitar SSE al crear el flujo de Firehose. Para ello, especifique DeliveryStreamEncryptionConfigurationInputcuándo se invoca CreateDeliveryStream.

Cuando la CMK es de tipo CUSTOMER_MANAGED_CMK, si el servicio Amazon Data Firehose no puede descifrar registros debido a una excepción KMSNotFoundException, KMSInvalidStateException, KMSDisabledException o KMSAccessDeniedException, el servicio espera hasta 24 horas (el periodo de retención) para resolver el problema. Si el problema continúa después del periodo de retención, el servicio omite los registros que han superado el periodo de retención y no se pudieron descifrar y, a continuación, descarta los datos. Amazon Data Firehose proporciona las siguientes cuatro CloudWatch métricas que puede utilizar para realizar un seguimiento de las cuatro AWS KMS excepciones:

• KMSKeyAccessDenied

• KMSKeyDisabled

• KMSKeyInvalidState

• KMSKeyNotFound

Para obtener más información sobre estas métricas, consulte Supervisión de Amazon Data Firehose con métricas de CloudWatch.

importante

Para cifrar tu transmisión de Firehose, usa symmetric. CMKs Amazon Data Firehose no admite la asimetría. CMKs Para obtener información acerca de lo simétrico y lo asimétrico CMKs, consulte Acerca de lo simétrico y lo CMKs asimétrico en la guía para desarrolladores. AWS Key Management Service

nota

Cuando utiliza una clave administrada por el cliente (CUSTOMER_MANAGED_CMK) para habilitar el cifrado del servidor (SSE) para el flujo de Firehose, el servicio de Firehose establece un contexto de cifrado siempre que utilice su clave. Como este contexto de cifrado representa un caso en el que se utilizó una clave propiedad de su AWS cuenta, se registra como parte de los registros de AWS CloudTrail eventos de su cuenta. AWS Este contexto de cifrado es un sistema generado por el servicio de Firehose. Su aplicación no debe hacer suposiciones sobre el formato o el contenido del contexto de cifrado establecido por el servicio de Firehose.