Perlindungan data di Kinesis Video Streams - Amazon Kinesis Video Streams
Apa itu enkripsi sisi server untuk Kinesis Video Streams?Biaya, Wilayah, dan pertimbangan kinerjaBagaimana cara memulai dengan enkripsi sisi server?Membuat dan menggunakan kunci yang dikelola pelangganIzin untuk menggunakan kunci terkelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Kinesis Video Streams

Anda dapat menggunakan enkripsi sisi server () menggunakan SSE AWS Key Management Service (AWS KMS) kunci untuk memenuhi persyaratan manajemen data yang ketat dengan mengenkripsi data Anda saat istirahat di Amazon Kinesis Video Streams.

Apa itu enkripsi sisi server untuk Kinesis Video Streams?

Enkripsi sisi server adalah fitur dalam Kinesis Video Streams yang secara otomatis mengenkripsi data sebelum disimpan saat istirahat menggunakan AWS KMS kunci yang Anda tentukan. Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Kinesis Video Streams, dan didekripsi setelah diambil dari penyimpanan. Akibatnya, data Anda selalu dienkripsi saat diam dalam layanan Kinesis Video Streams.

Dengan enkripsi sisi server, produsen dan konsumen aliran video Kinesis Anda tidak perlu mengelola KMS kunci atau operasi kriptografi. Jika retensi data diaktifkan, data Anda secara otomatis dienkripsi saat masuk dan keluar dari Kinesis Video Streams, sehingga data Anda saat istirahat dienkripsi. AWS KMS menyediakan semua kunci yang digunakan oleh fitur enkripsi sisi server. AWS KMS merampingkan penggunaan KMS kunci untuk Kinesis Video Streams yang dikelola oleh AWS, yang ditentukan pengguna AWS KMS kunci diimpor ke AWS KMS layanan.

Biaya, Wilayah, dan pertimbangan kinerja

Saat Anda menerapkan enkripsi sisi server, Anda tunduk pada AWS KMS APIpenggunaan dan biaya utama. Tidak seperti kebiasaan AWS KMS kunci, (Default) aws/kinesis-video KMS kuncinya ditawarkan tanpa biaya. Namun, Anda tetap harus membayar biaya API penggunaan yang dikeluarkan Kinesis Video Streams atas nama Anda.

APIbiaya penggunaan berlaku untuk setiap KMS kunci, termasuk yang khusus. Bagian AWS KMS skala biaya dengan jumlah kredensi pengguna yang Anda gunakan pada produsen data dan konsumen Anda karena setiap kredensi pengguna memerlukan panggilan unik untuk API AWS KMS.

Berikut ini menjelaskan biaya berdasarkan sumber daya:

Kunci

  • KMSKunci untuk Kinesis Video Streams yang dikelola oleh AWS (alias =aws/kinesis-video) tidak dikenakan biaya.

  • KMSKunci yang dibuat pengguna tunduk pada AWS KMS key biaya. Untuk informasi selengkapnya, silakan lihat AWS Key Management Service Harga.

AWS KMS APIpenggunaan

APIpermintaan untuk menghasilkan kunci enkripsi data baru atau untuk mengambil kunci enkripsi yang ada meningkat seiring dengan peningkatan lalu lintas, dan tunduk pada AWS KMS biaya penggunaan. Untuk informasi selengkapnya, silakan lihat AWS Key Management Service Harga: Penggunaan.

Kinesis Video Streams menghasilkan permintaan kunci bahkan ketika retensi disetel ke 0 (tidak ada retensi).

Ketersediaan enkripsi sisi server menurut Wilayah

Enkripsi sisi server dari aliran video Kinesis tersedia di semua Wilayah AWS di mana Kinesis Video Streams tersedia.

Bagaimana cara memulai dengan enkripsi sisi server?

Enkripsi sisi server selalu diaktifkan di Kinesis Video Streams. Jika kunci yang disediakan pengguna tidak ditentukan saat aliran dibuat, Kunci yang dikelola AWS (disediakan oleh Kinesis Video Streams) digunakan.

KMSKunci yang disediakan pengguna harus ditetapkan ke aliran video Kinesis saat dibuat. Anda tidak dapat menetapkan kunci yang berbeda ke aliran menggunakan UpdateStreamAPInanti.

Anda dapat menetapkan KMS kunci yang disediakan pengguna ke aliran video Kinesis dengan dua cara:

  • Saat membuat aliran video Kinesis di AWS Management Console, tentukan KMS kunci di tab Enkripsi pada halaman Buat aliran video baru.

  • Saat membuat aliran video Kinesis menggunakan CreateStreamAPI, tentukan ID kunci dalam parameter. KmsKeyId

Membuat dan menggunakan kunci yang dikelola pelanggan

Bagian ini menjelaskan cara membuat dan menggunakan kunci Anda sendiri alih-alih menggunakan KMS kunci yang dikelola oleh Amazon Kinesis Video Streams.

Membuat kunci yang dikelola pelanggan

Untuk informasi tentang cara membuat kunci Anda sendiri, lihat Membuat Kunci di AWS Key Management Service Panduan Pengembang. Setelah Anda membuat kunci untuk akun Anda, layanan Kinesis Video Streams mengembalikan kunci ini dalam daftar kunci terkelola Pelanggan.

Menggunakan kunci yang dikelola pelanggan

Setelah izin yang benar diterapkan ke konsumen, produsen, dan administrator Anda, Anda dapat menggunakan KMS kunci kustom sendiri Akun AWS atau lainnya Akun AWS. Semua KMS kunci di akun Anda muncul di daftar kunci terkelola Pelanggan di konsol.

Untuk menggunakan KMS kunci khusus yang terletak di akun lain, Anda harus memiliki izin untuk menggunakan kunci tersebut. Anda juga harus membuat aliran menggunakan file CreateStreamAPI. Anda tidak dapat menggunakan KMS kunci dari akun yang berbeda dalam aliran yang dibuat di konsol.

catatan

KMSKunci tidak dapat diakses sampai GetMedia operasi PutMedia atau dilakukan. Ini memiliki hasil sebagai berikut:

  • Jika kunci yang Anda tentukan tidak ada, CreateStream operasi berhasil, tetapi PutMedia GetMedia operasi pada aliran gagal.

  • Jika Anda menggunakan kunci yang disediakan (aws/kinesis-video), kunci tidak ada di akun Anda sampai yang pertama PutMedia atau GetMedia operasi dilakukan.

Izin untuk menggunakan kunci terkelola pelanggan

Sebelum Anda dapat menggunakan enkripsi sisi server dengan kunci yang dikelola pelanggan, Anda harus mengonfigurasi kebijakan KMS kunci untuk mengizinkan enkripsi aliran dan enkripsi serta dekripsi catatan aliran. Sebagai contoh dan informasi lebih lanjut tentang AWS KMS izin, lihat AWS KMS APIIzin: Tindakan dan Referensi Sumber Daya.

catatan

Penggunaan kunci layanan default untuk enkripsi tidak memerlukan penerapan IAM izin khusus.

Sebelum Anda menggunakan kunci yang dikelola pelanggan, verifikasi bahwa produsen dan konsumen aliran video Kinesis Anda (IAMprinsipal) adalah pengguna di AWS KMS kebijakan kunci default. Jika tidak, menulis dan membaca dari aliran akan gagal, yang pada akhirnya dapat mengakibatkan kehilangan data, pemrosesan tertunda, atau aplikasi yang macet. Anda dapat mengelola izin untuk KMS kunci menggunakan IAM kebijakan. Untuk informasi selengkapnya, lihat Menggunakan IAM Kebijakan dengan AWS KMS.

Contoh izin produsen

Produser streaming video Kinesis Anda harus memiliki izin: kms:GenerateDataKey

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis-video:PutMedia",
        ],
        "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream"
    }
  ]
}

Contoh Izin konsumen

Konsumen streaming video Kinesis Anda harus memiliki izin: kms:Decrypt

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis-video:GetMedia",
        ],
        "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream"
    }
  ]
}