Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
¿Qué es el cifrado del lado del servidor para Kinesis Data Streams?
El cifrado del lado del servidor es una función de Amazon Kinesis Data Streams que cifra automáticamente los datos antes de que estén en reposo mediante la clave maestra del AWS KMS cliente (CMK) que especifique. Los datos se cifran antes de escribirlos en la capa de almacenamiento del flujo de Kinesis y se descifran después de recuperarlos del almacenamiento. Como resultado, los datos se cifran en reposo en el servicio de Kinesis Data Streams. Esto le permite cumplir requisitos normativos estrictos y mejorar la seguridad de sus datos.
Con el cifrado del lado del servidor, sus consumidores y productores del flujo de Kinesis no tendrán que ocuparse de administrar claves principales ni realizar operaciones criptográficas. Los datos se cifran automáticamente a medida que entran y salen del servicio Kinesis Data Streams, por lo que los datos en reposo se cifran. AWS KMS proporciona todas las claves maestras que utiliza la función de cifrado del lado del servidor. AWS KMS facilita el uso de una CMK para Kinesis gestionada por una CMK AWS KMS especificada AWS por el usuario o una clave maestra importada al servicio. AWS KMS
nota
El cifrado en el servidor cifra los datos entrantes solo después de que se habilite el cifrado. Los datos preexistentes de una secuencia sin cifrar no se cifran tras activar el cifrado en el servidor.
Al cifrar sus flujos de datos y compartir el acceso con otras entidades principales, debe conceder permisos tanto a la política clave de la clave como a las políticas de IAM de la cuenta externa. AWS KMS Para obtener más información, consulte Allowing users in other accounts to use a KMS key (Permitir que los usuarios de otras cuentas utilicen una clave KMS).
Si ha habilitado el cifrado del lado del servidor para un flujo de datos con una clave KMS AWS administrada y desea compartir el acceso mediante una política de recursos, debe cambiar a la clave administrada por el cliente (CMK), como se muestra a continuación:
Además, debe permitir que las entidades principales compartidas tengan acceso a su CMK mediante las capacidades de uso compartido entre cuentas de KMS. Asegúrese de realizar también el cambio en las políticas de IAM para las entidades principales compartidas. Para obtener más información, consulte Allowing users in other accounts to use a KMS key (Permitir que los usuarios de otras cuentas utilicen una clave KMS).
