Protezione dei dati in Amazon Data Firehose

Amazon Data Firehose crittografa tutti i dati in transito utilizzando il protocollo TLS. Inoltre, per i dati archiviati in uno storage provvisorio durante l'elaborazione, Amazon Data Firehose crittografa i dati AWS Key Management Serviceutilizzando e verifica l'integrità dei dati mediante la verifica tramite checksum.

Se disponi di dati sensibili, puoi abilitare la crittografia dei dati lato server quando usi Amazon Data Firehose. Il modo in cui esegui questa operazione dipende dall'origine dei dati.

Nota

Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-2.

Crittografia lato server con Kinesis Data Streams

Quando invii dati dai tuoi produttori di dati al tuo flusso di dati, Kinesis Data Streams crittografa i dati AWS Key Management Service utilizzando AWS KMS una chiave () prima di archiviarli a riposo. Quando il flusso Firehose legge i dati dal flusso di dati, Kinesis Data Streams prima decrittografa i dati e poi li invia ad Amazon Data Firehose. Amazon Data Firehose memorizza nel buffer i dati in memoria in base ai suggerimenti di buffering specificati. Li distribuisce quindi alle destinazioni senza archiviare i dati inattivi non crittografati.

Per informazioni su come abilitare la crittografia lato server per Kinesis Data Streams, consulta Utilizzo della crittografia lato server nella Guida per gli sviluppatori del flusso di dati Amazon Kinesis.

Crittografia lato server con Direct PUT o altre fonti di dati

Se invii dati al tuo stream Firehose utilizzando PutRecordo PutRecordBatch, o se invii i dati utilizzando AWS IoT Amazon CloudWatch Logs o CloudWatch Events, puoi attivare la crittografia lato server utilizzando l'operazione. StartDeliveryStreamEncryption

Per interrompere server-side-encryption, usa l'operazione. StopDeliveryStreamEncryption

È inoltre possibile abilitare SSE quando si crea lo stream Firehose. A tale scopo, specificate DeliveryStreamEncryptionConfigurationInputquando richiamate. CreateDeliveryStream

Quando la CMK è di tipoCUSTOMER_MANAGED_CMK, se il servizio Amazon Data Firehose non è in grado di decrittografare i record a causa di KMSNotFoundException a, a, KMSInvalidStateException a o KMSDisabledException KMSAccessDeniedException a, il servizio attende fino a 24 ore (periodo di conservazione) prima che tu risolva il problema. Se il problema persiste oltre il periodo di conservazione, il servizio ignora i record che hanno superato il periodo di conservazione e non sono stati decrittografati, quindi elimina i dati. Amazon Data Firehose fornisce le seguenti quattro CloudWatch metriche che puoi utilizzare per tenere traccia delle quattro eccezioni: AWS KMS

• KMSKeyAccessDenied

• KMSKeyDisabled

• KMSKeyInvalidState

• KMSKeyNotFound

Per ulteriori informazioni su questi parametri, consulta Monitora Amazon Data Firehose con parametri CloudWatch .

Importante

Per crittografare il tuo stream Firehose, usa symmetric. CMKs Amazon Data Firehose non supporta l'asimmetria. CMKs Per informazioni su simmetrico e asimmetrico, consulta About Symmetric and Asymmetric nella CMKs guida per sviluppatori. CMKs AWS Key Management Service

Nota

Quando si utilizza una chiave gestita dal cliente (CUSTOMER_MANAGED_CMK) per abilitare la crittografia lato server (SSE) per lo stream Firehose, il servizio Firehose imposta un contesto di crittografia ogni volta che utilizza la chiave. Poiché questo contesto di crittografia rappresenta un evento in cui è stata utilizzata una chiave di proprietà dell'account, viene registrato come parte dei registri degli eventi AWS dell'account. AWS CloudTrail AWS Questo contesto di crittografia è un sistema generato dal servizio Firehose. L'applicazione non deve fare ipotesi sul formato o sul contenuto del contesto di crittografia impostato dal servizio Firehose.