Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan data di Kinesis Video Streams
Anda dapat menggunakan enkripsi sisi server () menggunakan SSE AWS Key Management Service (AWS KMS) kunci untuk memenuhi persyaratan manajemen data yang ketat dengan mengenkripsi data Anda saat istirahat di Amazon Kinesis Video Streams.
Topik
Apa itu enkripsi sisi server untuk Kinesis Video Streams?
Enkripsi sisi server adalah fitur dalam Kinesis Video Streams yang secara otomatis mengenkripsi data sebelum disimpan saat istirahat menggunakan AWS KMS kunci yang Anda tentukan. Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Kinesis Video Streams, dan didekripsi setelah diambil dari penyimpanan. Akibatnya, data Anda selalu dienkripsi saat diam dalam layanan Kinesis Video Streams.
Dengan enkripsi sisi server, produsen dan konsumen aliran video Kinesis Anda tidak perlu mengelola KMS kunci atau operasi kriptografi. Jika retensi data diaktifkan, data Anda secara otomatis dienkripsi saat masuk dan keluar dari Kinesis Video Streams, sehingga data Anda saat istirahat dienkripsi. AWS KMS menyediakan semua kunci yang digunakan oleh fitur enkripsi sisi server. AWS KMS merampingkan penggunaan KMS kunci untuk Kinesis Video Streams yang dikelola oleh AWS, yang ditentukan pengguna AWS KMS kunci diimpor ke AWS KMS layanan.
Biaya, Wilayah, dan pertimbangan kinerja
Saat Anda menerapkan enkripsi sisi server, Anda tunduk pada AWS KMS APIpenggunaan dan biaya utama. Tidak seperti kebiasaan AWS KMS kunci, (Default) aws/kinesis-video
KMS kuncinya ditawarkan tanpa biaya. Namun, Anda tetap harus membayar biaya API penggunaan yang dikeluarkan Kinesis Video Streams atas nama Anda.
APIbiaya penggunaan berlaku untuk setiap KMS kunci, termasuk yang khusus. Bagian AWS KMS skala biaya dengan jumlah kredensi pengguna yang Anda gunakan pada produsen data dan konsumen Anda karena setiap kredensi pengguna memerlukan panggilan unik untuk API AWS KMS.
Berikut ini menjelaskan biaya berdasarkan sumber daya:
Kunci
-
KMSKunci untuk Kinesis Video Streams yang dikelola oleh AWS (alias =
aws/kinesis-video
) tidak dikenakan biaya. -
KMSKunci yang dibuat pengguna tunduk pada AWS KMS key biaya. Untuk informasi selengkapnya, silakan lihat AWS Key Management Service Harga
.
AWS KMS APIpenggunaan
APIpermintaan untuk menghasilkan kunci enkripsi data baru atau untuk mengambil kunci enkripsi yang ada meningkat seiring dengan peningkatan lalu lintas, dan tunduk pada AWS KMS biaya penggunaan. Untuk informasi selengkapnya, silakan lihat AWS Key Management Service Harga: Penggunaan
Kinesis Video Streams menghasilkan permintaan kunci bahkan ketika retensi disetel ke 0 (tidak ada retensi).
Ketersediaan enkripsi sisi server menurut Wilayah
Enkripsi sisi server dari aliran video Kinesis tersedia di semua Wilayah AWS di mana Kinesis Video Streams tersedia.
Bagaimana cara memulai dengan enkripsi sisi server?
Enkripsi sisi server selalu diaktifkan di Kinesis Video Streams. Jika kunci yang disediakan pengguna tidak ditentukan saat aliran dibuat, Kunci yang dikelola AWS (disediakan oleh Kinesis Video Streams) digunakan.
KMSKunci yang disediakan pengguna harus ditetapkan ke aliran video Kinesis saat dibuat. Anda tidak dapat menetapkan kunci yang berbeda ke aliran menggunakan UpdateStreamAPInanti.
Anda dapat menetapkan KMS kunci yang disediakan pengguna ke aliran video Kinesis dengan dua cara:
-
Saat membuat aliran video Kinesis di AWS Management Console, tentukan KMS kunci di tab Enkripsi pada halaman Buat aliran video baru.
-
Saat membuat aliran video Kinesis menggunakan CreateStreamAPI, tentukan ID kunci dalam parameter.
KmsKeyId
Membuat dan menggunakan kunci yang dikelola pelanggan
Bagian ini menjelaskan cara membuat dan menggunakan kunci Anda sendiri alih-alih menggunakan KMS kunci yang dikelola oleh Amazon Kinesis Video Streams.
Membuat kunci yang dikelola pelanggan
Untuk informasi tentang cara membuat kunci Anda sendiri, lihat Membuat Kunci di AWS Key Management Service Panduan Pengembang. Setelah Anda membuat kunci untuk akun Anda, layanan Kinesis Video Streams mengembalikan kunci ini dalam daftar kunci terkelola Pelanggan.
Menggunakan kunci yang dikelola pelanggan
Setelah izin yang benar diterapkan ke konsumen, produsen, dan administrator Anda, Anda dapat menggunakan KMS kunci kustom sendiri Akun AWS atau lainnya Akun AWS. Semua KMS kunci di akun Anda muncul di daftar kunci terkelola Pelanggan di konsol.
Untuk menggunakan KMS kunci khusus yang terletak di akun lain, Anda harus memiliki izin untuk menggunakan kunci tersebut. Anda juga harus membuat aliran menggunakan file CreateStream
API. Anda tidak dapat menggunakan KMS kunci dari akun yang berbeda dalam aliran yang dibuat di konsol.
catatan
KMSKunci tidak dapat diakses sampai GetMedia
operasi PutMedia
atau dilakukan. Ini memiliki hasil sebagai berikut:
-
Jika kunci yang Anda tentukan tidak ada,
CreateStream
operasi berhasil, tetapiPutMedia
GetMedia
operasi pada aliran gagal. -
Jika Anda menggunakan kunci yang disediakan (
aws/kinesis-video
), kunci tidak ada di akun Anda sampai yang pertamaPutMedia
atauGetMedia
operasi dilakukan.
Izin untuk menggunakan kunci terkelola pelanggan
Sebelum Anda dapat menggunakan enkripsi sisi server dengan kunci yang dikelola pelanggan, Anda harus mengonfigurasi kebijakan KMS kunci untuk mengizinkan enkripsi aliran dan enkripsi serta dekripsi catatan aliran. Sebagai contoh dan informasi lebih lanjut tentang AWS KMS izin, lihat AWS KMS APIIzin: Tindakan dan Referensi Sumber Daya.
catatan
Penggunaan kunci layanan default untuk enkripsi tidak memerlukan penerapan IAM izin khusus.
Sebelum Anda menggunakan kunci yang dikelola pelanggan, verifikasi bahwa produsen dan konsumen aliran video Kinesis Anda (IAMprinsipal) adalah pengguna di AWS KMS kebijakan kunci default. Jika tidak, menulis dan membaca dari aliran akan gagal, yang pada akhirnya dapat mengakibatkan kehilangan data, pemrosesan tertunda, atau aplikasi yang macet. Anda dapat mengelola izin untuk KMS kunci menggunakan IAM kebijakan. Untuk informasi selengkapnya, lihat Menggunakan IAM Kebijakan dengan AWS KMS.
Contoh izin produsen
Produser streaming video Kinesis Anda harus memiliki izin: kms:GenerateDataKey
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:PutMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }
Contoh Izin konsumen
Konsumen streaming video Kinesis Anda harus memiliki izin: kms:Decrypt
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:GetMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }