Protección de datos en Kinesis Video Streams - Amazon Kinesis Video Streams

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Kinesis Video Streams

Puede utilizar el cifrado del lado del servidor (SSE) mediante claves AWS Key Management Service (AWS KMS) para cumplir con los estrictos requisitos de administración de datos cifrando los datos en reposo en Amazon Kinesis Video Streams.

¿Qué es el cifrado del lado del servidor para Kinesis Video Streams?

El cifrado del lado del servidor es una función de Kinesis Video Streams que cifra automáticamente los datos antes de almacenarlos en reposo mediante una AWS KMS clave que usted especifique. Los datos se cifran antes de escribirse en la capa de almacenamiento de transmisiones de Kinesis Video Streams y se descifran una vez recuperados del almacenamiento. Como resultado, sus datos siempre se cifran en reposo en el servicio Kinesis Video Streams.

Con el cifrado del lado del servidor, los productores y consumidores de transmisiones de vídeo de Kinesis no necesitan gestionar las claves de KMS ni las operaciones criptográficas. Si la retención de datos está habilitada, los datos se cifran automáticamente al entrar y salir de Kinesis Video Streams, por lo que los datos en reposo se cifran. AWS KMS proporciona todas las claves que utiliza la función de cifrado del lado del servidor. AWS KMS optimiza el uso de una clave KMS para Kinesis Video Streams que se administra AWS mediante una clave AWS KMS especificada por el usuario importada al servicio. AWS KMS

Consideraciones sobre los costos, las regiones y el rendimiento

Cuando aplicas el cifrado del lado del servidor, estás sujeto al uso de la AWS KMS API y a los costes de las claves. A diferencia de AWS KMS las claves personalizadas, la clave (Default) aws/kinesis-video KMS se ofrece de forma gratuita. Sin embargo, debe seguir pagando en su nombre los costes de uso de la API en los que incurra Kinesis Video Streams.

Los costes de uso de la API se aplican a todas las claves de KMS, incluidas las personalizadas. Los AWS KMS costes aumentan en función del número de credenciales de usuario que utilice para generar y consumir datos, ya que cada credencial de usuario requiere una llamada a AWS KMS la API única.

A continuación se describen los costos por recurso:

Claves
  • La clave KMS para Kinesis Video Streams gestionada AWS por (alias aws/kinesis-video =) es gratuita.

  • Las claves KMS generadas por los usuarios están sujetas a costes AWS KMS key . Para obtener más información, consulte AWS Key Management Service Precios.

AWS KMS Uso de la API

Las solicitudes de la API para generar nuevas claves de cifrado de datos o recuperar las claves de cifrado existentes aumentan a medida que aumenta el tráfico y están sujetas a los costes de AWS KMS uso. Para obtener más información, consulte AWS Key Management Service Precios: uso.

Kinesis Video Streams genera solicitudes clave incluso cuando la retención está establecida en 0 (sin retención).

Disponibilidad del cifrado del lado del servidor por región

El cifrado del lado del servidor de las transmisiones de vídeo de Kinesis está disponible en todos los sitios donde esté disponible Kinesis Regiones de AWS Video Streams.

¿Cómo puedo empezar con el cifrado del lado del servidor?

El cifrado del lado del servidor siempre está activado en Kinesis Video Streams. Si no se especifica una clave proporcionada por el usuario al crear la transmisión, se utiliza la Clave administrada de AWS (proporcionada por Kinesis Video Streams).

Se debe asignar una clave KMS proporcionada por el usuario a una transmisión de vídeo de Kinesis al crearla. No podrá asignar una clave diferente a una transmisión mediante la UpdateStreamAPI más adelante.

Puede asignar una clave KMS proporcionada por el usuario a una transmisión de vídeo de Kinesis de dos maneras:

  • Al crear una transmisión de vídeo de Kinesis en AWS Management Console, especifique la clave KMS en la pestaña Cifrado de la página Crear una nueva transmisión de vídeo.

  • Al crear una transmisión de vídeo de Kinesis mediante la CreateStreamAPI, especifique el ID de clave en el KmsKeyId parámetro.

Creación y uso de una clave gestionada por el cliente

En esta sección se describe cómo crear y utilizar sus propias claves de KMS en lugar de utilizar la clave administrada por Amazon Kinesis Video Streams.

Creación de una clave administrada por el cliente

Para obtener información sobre cómo crear sus propias claves, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores. Tras crear las claves para su cuenta, el servicio Kinesis Video Streams las devuelve a la lista de claves gestionadas por el cliente.

Uso de claves administradas por el cliente

Una vez que se hayan aplicado los permisos correctos a sus consumidores, productores y administradores, podrá utilizar las claves KMS personalizadas propias Cuenta de AWS o Cuenta de AWS ajenas. Todas las claves KMS de su cuenta aparecen en la lista de claves administradas por el cliente de la consola.

Para usar claves KMS personalizadas que estén ubicadas en otra cuenta, debe tener permisos para usarlas. Asimismo, debe crear la transmisión utilizando la API CreateStream. No puedes usar claves de KMS de cuentas diferentes en las transmisiones creadas en la consola.

nota

No se accede a la clave KMS hasta que se lleva a cabo la GetMedia operación PutMedia o. Así, se obtienen los siguientes resultados:

  • Si la clave que especificas no existe, la CreateStream operación se realiza correctamente, pero PutMedia las GetMedia operaciones de la transmisión fallan.

  • Si utilizas la clave proporcionada (aws/kinesis-video), la clave no estará en tu cuenta hasta que no realices la primera PutMedia GetMedia operación.

Permisos para usar una clave administrada por el cliente

Para poder usar el cifrado del lado del servidor con una clave administrada por el cliente, debe configurar las políticas de claves de KMS para permitir el cifrado de las transmisiones y el cifrado y descifrado de los registros de las transmisiones. Para ver ejemplos y más información sobre AWS KMS los permisos, consulte Permisos de AWS KMS API: referencia sobre acciones y recursos.

nota

El uso de la clave de servicio predeterminada para el cifrado no requiere la aplicación de permisos de IAM personalizados.

Antes de usar una clave administrada por el cliente, compruebe que los productores y consumidores de transmisiones de vídeo de Kinesis (principales de IAM) sean usuarios de la AWS KMS política de claves predeterminada. De lo contrario, las labores de escritura y lectura de una secuencia producirán un error, lo que, en definitiva, podría resultar en pérdida de datos, retrasos en el procesamiento, aplicaciones colgadas. Puede administrar los permisos para las claves de KMS con las políticas de IAM. Para obtener más información, consulte Uso de políticas de IAM con. AWS KMS

Ejemplo de permisos de productor

Los productores de transmisiones de vídeo de Kinesis deben tener el kms:GenerateDataKey permiso para:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:PutMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }

Ejemplo de permisos de consumo

Los consumidores de streaming de vídeo de Kinesis deben tener el kms:Decrypt permiso para:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:GetMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }