Protezione dei dati in Amazon Data Firehose

Amazon Data Firehose crittografa tutti i dati in transito utilizzando il protocollo. TLS Inoltre, per i dati archiviati in uno storage provvisorio durante l'elaborazione, Amazon Data Firehose crittografa i dati AWS Key Management Serviceutilizzando e verifica l'integrità dei dati mediante la verifica tramite checksum.

Se disponi di dati sensibili, puoi abilitare la crittografia dei dati lato server quando usi Amazon Data Firehose. Il modo in cui esegui questa operazione dipende dall'origine dei dati.

Nota

Se hai bisogno di FIPS 140-2 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o un, usa un endpoint. API FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-2. FIPS

Crittografia lato server con Kinesis Data Streams

Quando invii dati dai tuoi produttori di dati al tuo flusso di dati, Kinesis Data Streams crittografa i dati AWS Key Management Service utilizzando AWS KMS una chiave () prima di archiviarli a riposo. Quando il flusso Firehose legge i dati dal flusso di dati, Kinesis Data Streams prima decrittografa i dati e poi li invia ad Amazon Data Firehose. Amazon Data Firehose memorizza nel buffer i dati in memoria in base ai suggerimenti di buffering specificati. Li distribuisce quindi alle destinazioni senza archiviare i dati inattivi non crittografati.

Per informazioni su come abilitare la crittografia lato server per Kinesis Data Streams, consulta Utilizzo della crittografia lato server nella Guida per gli sviluppatori del flusso di dati Amazon Kinesis.

Crittografia lato server con Direct o altre fonti di dati PUT

Se invii dati al tuo stream Firehose utilizzando PutRecordo PutRecordBatch, o se invii i dati utilizzando AWS IoT Amazon CloudWatch Logs o CloudWatch Events, puoi attivare la crittografia lato server utilizzando l'operazione. StartDeliveryStreamEncryption

Per interrompere server-side-encryption, usa l'operazione. StopDeliveryStreamEncryption

È inoltre possibile abilitarlo SSE quando si crea lo stream Firehose. A tale scopo, specificate DeliveryStreamEncryptionConfigurationInputquando CreateDeliveryStreamrichiamate.

Se CMK è di tipo 1CUSTOMER_MANAGED_CMK, se il servizio Amazon Data Firehose non è in grado di decrittografare i record a causa di aKMSNotFoundException, aKMSInvalidStateException, a o a KMSDisabledExceptionKMSAccessDeniedException, il servizio attende fino a 24 ore (periodo di conservazione) prima che tu risolva il problema. Se il problema persiste oltre il periodo di conservazione, il servizio ignora i record che hanno superato il periodo di conservazione e non sono stati decrittografati, quindi elimina i dati. Amazon Data Firehose fornisce le seguenti quattro CloudWatch metriche che puoi utilizzare per tenere traccia delle quattro eccezioni: AWS KMS

• KMSKeyAccessDenied

• KMSKeyDisabled

• KMSKeyInvalidState

• KMSKeyNotFound

Per ulteriori informazioni su questi parametri, consulta Monitora Amazon Data Firehose con parametri CloudWatch .

Importante

Per crittografare il tuo stream Firehose, usa symmetric. CMKs Amazon Data Firehose non supporta l'asimmetria. CMKs Per informazioni su simmetrico e asimmetrico, consulta About Symmetric and Asymmetric nella CMKs guida per sviluppatori. CMKs AWS Key Management Service

Nota

Quando si utilizza una chiave gestita dal cliente (CUSTOMER_ MANAGED _CMK) per abilitare la crittografia lato server (SSE) per lo stream Firehose, il servizio Firehose imposta un contesto di crittografia ogni volta che utilizza la chiave. Poiché questo contesto di crittografia rappresenta un evento in cui è stata utilizzata una chiave di proprietà AWS dell'account, viene registrato come parte dei registri degli AWS CloudTrail eventi dell'account. AWS Questo contesto di crittografia è un sistema generato dal servizio Firehose. L'applicazione non deve fare ipotesi sul formato o sul contenuto del contesto di crittografia impostato dal servizio Firehose.