Apa itu enkripsi sisi server untuk Kinesis Data Streams? - Amazon Kinesis Data Streams

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu enkripsi sisi server untuk Kinesis Data Streams?

Enkripsi sisi server adalah fitur di Amazon Kinesis Data Streams yang secara otomatis mengenkripsi data sebelum diam dengan AWS KMS menggunakan kunci master pelanggan () yang Anda tentukan. CMK Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Kinesis, dan didekripsi setelah diambil dari penyimpanan. Akibatnya, data Anda dienkripsi saat istirahat dalam layanan Kinesis Data Streams. Ini memungkinkan Anda untuk memenuhi persyaratan peraturan yang ketat dan meningkatkan keamanan data Anda.

Dengan enkripsi sisi server, produsen dan konsumen Kinesis stream Anda tidak perlu mengelola kunci utama atau operasi kriptografi. Data Anda secara otomatis dienkripsi saat masuk dan meninggalkan layanan Kinesis Data Streams, sehingga data Anda saat istirahat dienkripsi. AWS KMS menyediakan semua kunci master yang digunakan oleh fitur enkripsi sisi server. AWS KMS membuatnya mudah untuk menggunakan CMK untuk Kinesis yang dikelola oleh AWS, ditentukan pengguna AWS KMS CMK, atau kunci master yang diimpor ke layanan. AWS KMS

catatan

Enkripsi sisi server mengenkripsi data yang masuk hanya setelah enkripsi diaktifkan. Data yang sudah ada sebelumnya dalam aliran yang tidak terenkripsi tidak dienkripsi setelah enkripsi sisi server diaktifkan.

Saat mengenkripsi aliran data dan berbagi akses ke prinsipal lain, Anda harus memberikan izin baik dalam kebijakan kunci untuk AWS KMS kunci dan kebijakan di akun eksternal. IAM Untuk informasi selengkapnya, lihat Mengizinkan pengguna di akun lain menggunakan KMS kunci.

Jika Anda telah mengaktifkan enkripsi sisi server untuk aliran data dengan KMS kunci AWS terkelola dan ingin berbagi akses melalui kebijakan sumber daya, Anda harus beralih menggunakan kunci yang dikelola pelanggan (CMK), seperti yang ditunjukkan berikut:

Encryption settings interface with options for server-side encryption and customer-managed CMK.

Selain itu, Anda harus mengizinkan entitas utama berbagi Anda untuk memiliki akses ke AndaCMK, menggunakan kemampuan berbagi KMS lintas akun. Pastikan juga untuk membuat perubahan dalam IAM kebijakan untuk entitas utama berbagi. Untuk informasi selengkapnya, lihat Mengizinkan pengguna di akun lain menggunakan KMS kunci.