Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección de datos en Kinesis Video Streams
Puede utilizar el cifrado del lado del servidor (SSE) mediante claves AWS Key Management Service (AWS KMS) para cumplir con los estrictos requisitos de administración de datos cifrando los datos en reposo en Amazon Kinesis Video Streams.
Temas
¿Qué es el cifrado del lado del servidor para Kinesis Video Streams?
El cifrado del lado del servidor es una función de Kinesis Video Streams que cifra automáticamente los datos antes de que estén en reposo mediante una función que usted especifique. AWS KMS Los datos se cifran antes de escribirse en la capa de almacenamiento de transmisiones de Kinesis Video Streams y se descifran una vez recuperados del almacenamiento. Como resultado, sus datos siempre se cifran en reposo en el servicio Kinesis Video Streams.
Con el cifrado del lado del servidor, los productores y consumidores de transmisiones de vídeo de Kinesis no necesitan gestionar las claves de KMS ni las operaciones criptográficas. Si la retención de datos está habilitada, los datos se cifran automáticamente al entrar y salir de Kinesis Video Streams, por lo que los datos en reposo se cifran. AWS KMSproporciona todas las claves que utiliza la función de cifrado del lado del servidor. AWS KMSoptimiza el uso de una clave KMS para Kinesis Video Streams que se administra AWS mediante una clave AWS KMS especificada por el usuario importada al servicio. AWS KMS
Consideraciones sobre los costos, las regiones y el rendimiento
Cuando aplique el cifrado de servidor, se le aplicarán los costos de uso de las API y las claves de AWS KMS. A diferencia de AWS KMS las claves personalizadas, la clave (Default) aws/kinesis-video KMS se ofrece sin cargo alguno. Sin embargo, debe seguir pagando en su nombre los costes de uso de la API en los que incurra Kinesis Video Streams.
Los costes de uso de la API se aplican a todas las claves de KMS, incluidas las personalizadas. Los AWS KMS costes aumentan en función del número de credenciales de usuario que utilice para generar y consumir datos, ya que cada credencial de usuario requiere una llamada a AWS KMS la API única.
A continuación se describen los costos por recurso:
Claves
-
La clave KMS para Kinesis Video Streams gestionada AWS por (alias
aws/kinesis-video=) es gratuita. -
Las claves KMS generadas por los usuarios están sujetas a costesAWS KMS key. Para obtener más información, consulte Precios de AWS Key Management Service
.
AWS KMSUso de API
Las solicitudes de API para generar nuevas claves de cifrado de datos o recuperar claves de cifrado existentes aumentan a medida que aumenta el tráfico, y están sujetas a los costos de uso de AWS KMS. Para obtener más información, consulta AWS Key Management ServicePrecios: uso
Kinesis Video Streams genera solicitudes clave incluso cuando la retención está establecida en 0 (sin retención).
Disponibilidad del cifrado del lado del servidor por región
El cifrado del lado del servidor de las transmisiones de vídeo de Kinesis está disponible en todos los sitios donde esté disponible Kinesis Regiones de AWS Video Streams.
¿Cómo puedo empezar con el cifrado del lado del servidor?
El cifrado del lado del servidor siempre está activado en Kinesis Video Streams. Si no se especifica una clave proporcionada por el usuario al crear la transmisión, se utiliza la clave predeterminada (proporcionada por Kinesis Video Streams).
Se debe asignar una clave KMS proporcionada por el usuario a una transmisión de vídeo de Kinesis al crearla. No podrá asignar una clave diferente a una transmisión mediante la UpdateStreamAPI más adelante.
Puede asignar una clave KMS proporcionada por el usuario a una transmisión de vídeo de Kinesis de dos maneras:
-
Al crear una transmisión de vídeo de Kinesis enAWS Management Console, especifique la clave KMS en la pestaña Cifrado de la página Crear una nueva transmisión de vídeo.
-
Al crear una transmisión de vídeo de Kinesis mediante la CreateStreamAPI, especifique el ID de clave en el
KmsKeyIdparámetro.
Creación y uso de una clave KMS generada por el usuario
En esta sección se describe cómo crear y utilizar sus propias claves de KMS en lugar de utilizar la clave administrada por Amazon Kinesis Video Streams.
Creación de claves KMS generadas por los usuarios
Para obtener información sobre cómo crear sus propias claves, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores. Tras crear las claves para su cuenta, el servicio Kinesis Video Streams las devuelve a la lista de claves maestras de KMS.
Uso de claves KMS generadas por el usuario
Una vez que se hayan aplicado los permisos correctos a sus consumidores, productores y administradores, podrá utilizar las claves KMS personalizadas propias Cuenta de AWS o Cuenta de AWS ajenas. Todas las claves de KMS de su cuenta aparecen en la lista de claves maestras de KMS de la consola.
Para usar claves de KMS personalizadas que estén ubicadas en otra cuenta, debe tener permisos para usarlas. Asimismo, debe crear la transmisión utilizando la API CreateStream. No puedes usar claves de KMS de cuentas diferentes en las transmisiones creadas en la consola.
nota
No se accede a la clave KMS hasta que se realiza la GetMedia operación PutMedia o. Así, se obtienen los siguientes resultados:
-
Si la clave que especificas no existe, la
CreateStreamoperación se realiza correctamente, peroPutMedialasGetMediaoperaciones de la transmisión fallan. -
Si utilizas la clave proporcionada (
aws/kinesis-video), la clave no estará en tu cuenta hasta que no realices la primeraPutMediaGetMediaoperación.
Permisos para usar claves KMS generadas por los usuarios
Para poder utilizar el cifrado del lado del servidor con una clave de KMS generada por el usuario, debe configurar las políticas de claves de KMS para permitir el cifrado de las transmisiones y el cifrado y descifrado de los registros de las transmisiones. Para ver ejemplos y más información sobre AWS KMS los permisos, consulte Permisos de AWS KMSAPI: referencia sobre acciones y recursos.
nota
El uso de la clave de servicio predeterminada para el cifrado no requiere la aplicación de permisos de IAM personalizados.
Antes de utilizar las claves de KMS generadas por el usuario, compruebe que los productores y consumidores de las transmisiones de vídeo de Kinesis (principales de IAM) sean usuarios de la política de claves maestras. AWS KMS De lo contrario, las labores de escritura y lectura de una secuencia producirán un error, lo que, en definitiva, podría resultar en pérdida de datos, retrasos en el procesamiento, aplicaciones colgadas. Puede administrar los permisos de las claves de KMS mediante las políticas de IAM. Para obtener más información, consulte Uso de políticas de IAM con AWS KMS.
Ejemplo de permisos de productor
Los productores de transmisiones de vídeo de Kinesis deben tener el kms:GenerateDataKey permiso para:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:PutMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }
Ejemplo de permisos de consumo
Los consumidores de streaming de vídeo de Kinesis deben tener el kms:Decrypt permiso para:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:GetMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }
