Perlindungan Data di Amazon Data Firehose

Amazon Data Firehose mengenkripsi semua data dalam perjalanan menggunakan protokol TLS. Selanjutnya, untuk data yang disimpan dalam penyimpanan sementara selama pemrosesan, Amazon Data Firehose mengenkripsi data AWS Key Management Servicemenggunakan dan memverifikasi integritas data menggunakan verifikasi checksum.

Jika memiliki data sensitif, Anda dapat mengaktifkan enkripsi data sisi server saat menggunakan Amazon Data Firehose. Cara Anda melakukannya tergantung pada sumber data Anda.

catatan

Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Enkripsi Sisi Server dengan Kinesis Data Streams sebagai Sumber Data

Saat Anda mengirim data dari produsen data ke aliran data Anda, Kinesis Data Streams mengenkripsi data Anda AWS Key Management Service menggunakan kunci () sebelum AWS KMS menyimpan data saat istirahat. Saat Firehose stream Anda membaca data dari aliran data Anda, Kinesis Data Streams pertama-tama mendekripsi data dan kemudian mengirimkannya ke Amazon Data Firehose. Amazon Data Firehose menyangga data dalam memori berdasarkan petunjuk buffering yang Anda tentukan. Alat ini kemudian mengirimkannya ke tujuan Anda tanpa menyimpan data at rest yang tidak terenkripsi.

Untuk informasi tentang cara mengaktifkan enkripsi sisi server untuk Kinesis Data Streams, lihat Menggunakan Enkripsi Sisi Server dalam Panduan Developer Amazon Kinesis Data Streams.

Enkripsi Sisi Server dengan PUT Langsung atau Sumber Data Lainnya

Jika Anda mengirim data ke aliran Firehose menggunakan PutRecordatau PutRecordBatch, atau jika Anda mengirim data menggunakan, CloudWatch Log AWS IoT Amazon, atau CloudWatch Acara, Anda dapat mengaktifkan enkripsi sisi server dengan menggunakan operasi. StartDeliveryStreamEncryption

Untuk berhenti server-side-encryption, gunakan StopDeliveryStreamEncryptionoperasi.

Anda juga dapat mengaktifkan SSE saat membuat aliran Firehose. Untuk melakukan itu, tentukan DeliveryStreamEncryptionConfigurationInputkapan Anda memanggil CreateDeliveryStream.

Jika CMK bertipeCUSTOMER_MANAGED_CMK, jika layanan Amazon Data Firehose tidak dapat mendekripsi catatan karena, KMSNotFoundException a, KMSInvalidStateException KMSDisabledException a, atau KMSAccessDeniedException a, layanan menunggu hingga 24 jam (periode penyimpanan) untuk menyelesaikan masalah. Jika masalah berlanjut melampaui periode retensi, layanan akan melompati catatan yang telah melewati periode retensi dan tidak dapat didekripsi, kemudian membuang data tersebut. Amazon Data Firehose menyediakan empat CloudWatch metrik berikut yang dapat Anda gunakan untuk melacak empat pengecualian: AWS KMS

• KMSKeyAccessDenied

• KMSKeyDisabled

• KMSKeyInvalidState

• KMSKeyNotFound

Untuk informasi selengkapnya tentang keempat metrik ini, lihat Memantau Amazon Data Firehose Menggunakan Metrik CloudWatch .

penting

Untuk mengenkripsi aliran Firehose Anda, gunakan CMK simetris. Amazon Data Firehose tidak mendukung CMK asimetris. Untuk informasi tentang CMK simetris dan asimetris, lihat Tentang CMK Simetris dan Asimetris di panduan pengembang. AWS Key Management Service

catatan

Bila Anda menggunakan kunci terkelola pelanggan (CUSTOMER_MANAGED_CMK) untuk mengaktifkan enkripsi sisi server (SSE) untuk aliran Firehose Anda, layanan Firehose akan menetapkan konteks enkripsi setiap kali menggunakan kunci Anda. Karena konteks enkripsi ini mewakili kejadian di mana kunci yang dimiliki oleh AWS akun Anda digunakan, itu dicatat sebagai bagian dari log AWS CloudTrail peristiwa untuk AWS akun Anda. Konteks enkripsi ini adalah sistem yang dihasilkan oleh layanan Firehose. Aplikasi Anda tidak boleh membuat asumsi tentang format atau konten konteks enkripsi yang ditetapkan oleh layanan Firehose.