Protezione dei dati nei Kinesis Video Streams - Amazon Kinesis Video Streams

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati nei Kinesis Video Streams

Crittografia lato server tramiteAWS Key Management Service(AWS KMS) keys ti consente di rispettare in modo più agevole i rigidi requisiti di gestione dei dati tramite la crittografia dei dati inattivi in Amazon Kinesis Video Streams.

Cos'è la crittografia lato server per Kinesis Video Streams?

La crittografia lato server è una caratteristica di Kinesis Video Streams che crittografa automaticamente i dati prima che diventino inattivi utilizzando unAWS KMSchiave master del cliente (CMK) specificata. I dati vengono crittografati prima di essere scritti sul livello di storage del flusso di Kinesis Video Streams e vengono decrittografati dopo essere stati recuperati dallo storage. Di conseguenza, i dati vengono sempre crittografati mentre sono inattivi all'interno del servizio Kinesis Video Streams.

Grazie alla crittografia lato server, produttori e consumatori del flusso video Kinesis non devono gestire le chiavi master o le operazioni di crittografia. Se la conservazione dei dati è abilitata, i dati vengono crittografati automaticamente quando entrano ed escono da Kinesis Video Streams, per fare in modo che i dati inattivi vengano crittografati.AWS KMSIn sono disponibili tutte le chiavi master utilizzate dalla funzione di crittografia lato server.AWS KMSsemplifica l'uso di una CMK per Kinesis Video Streams gestita da AWS, specificata dall'utenteAWS KMSCMK o una chiave master importata nelAWS KMSservizio.

Considerazioni su costi, regioni e prestazioni

Quando applichi la crittografia lato server, vengono applicati dei costi collegati alla chiave e all'uso dell'API di AWS KMS. A differenza delle chiavi master AWS KMS personalizzate, la chiave master del cliente (CMK) (Default) aws/kinesis-video è disponibile gratuitamente. Tuttavia, occorre comunque corrispondere un pagamento per i costi di utilizzo dell'API affrontati da Kinesis Video Streams per tuo conto.

I costi di utilizzo dell'API vengono applicati per ogni CMK, incluse quelle personalizzate. I costi legati a KMS variano in base al numero di credenziali utente utilizzate si producer e consumer dei dati dal momento che ogni credenziale utente richiede una chiamata API univoca a AWS KMS.

Di seguito vengono descritti i costi per risorsa:

Chiavi

  • Il CMK per Kinesis Video Streams gestito daAWS(alias =aws/kinesis-video) è gratuito.

  • Le chiavi di AWS KMS generate dall'utente sono soggette ai costi delle chiavi di AWS KMS. Per ulteriori informazioni, consulta la sezione relativa ai prezzi di AWS Key Management Service.

Utilizzo di API AWS KMS

Le richieste dell'API di generare nuove chiavi di crittografia dei dati o di recuperare le chiavi di crittografia esistenti aumentano in modo proporzionale al traffico e sono soggette ai costi di utilizzo di AWS KMS. Per ulteriori informazioni, consultaPrezzi di AWS Key Management Service: Utilizzo.

Kinesis Video Streams genera le richieste di chiave anche quando la conservazione è impostata su 0 (nessuna conservazione).

Disponibilità della crittografia lato server in base alla regione

La crittografia lato server dei flussi video Kinesis è disponibile in tutte le regioni AWS in cui è disponibile Kinesis Video Streams.

Cosa devo fare per iniziare a utilizzare la crittografia lato server?

Su Kinesis Video Streams, la crittografia lato server è sempre abilitata. Se al momento di creare il flusso non viene specificata una chiave fornita dall'utente, viene utilizzata la chiave predefinita (fornita da Kinesis Video Streams).

Un utente fornito dall'utenteAWS KMSAl momento della creazione, occorre assegnare la chiave master a un flusso video Kinesis. Non potrai assegnare al flusso una chiave diversa in un secondo momento tramite l'API UpdateStream.

Puoi assegnare un utente fornito dall'utenteAWS KMSchiave master per un flusso video Kinesis in due modi:

  • Quando crei un flusso video Kinesis nell'AWS Management Console, specificare ilAWS KMSchiave master nelCrittografiascheda sulCreazione di un nuovo flusso video(Certificato creato).

  • Quando crei un flusso video Kinesis tramiteCreateStreamAPI, specificare l'ID della chiave nelKmsKeyIdParametro .

Creazione e utilizzo di chiavi master AWS KMS generate dall'utente

In questa sezione viene descritto come creare e utilizzare i tuoiAWS KMSChiave master di anziché utilizzare la chiave master amministrata da Amazon Kinesis Video Streams.

Creazione di chiavi master AWS KMS generate dall'utente

Per informazioni su come creare chiavi master personalizzate, consultaCreazione di chiavinellaAWS Key Management ServiceGuida per gli sviluppatori. Dopo aver creato le chiavi per l'account, il servizio Kinesis Video Streams restituisce tali chiavi inKMS master key (Chiave master KMS)elenco.

Utilizzo di chiavi master KMS di AWS KMS generate dall'utente

Dopo aver applicato le autorizzazioni corrette a consumatori, producer e amministratori, puoi utilizzare le chiavi master di AWS KMS personalizzate nel proprio account AWS o in un altro account AWS. Tutte le chiavi master di AWS KMS del tuo account vengono visualizzate nell'elenco KMS Master Key (Chiave master di KMS) nella console.

Per utilizzare le chiavi master di AWS KMS personalizzate che si trovano in un altro account, è necessario disporre delle relative autorizzazioni. Inoltre, occorre creare il flusso tramite l'API CreateStream. Non puoi utilizzare le chiavi master di AWS KMS da diversi account nei flussi creati nella console.

Nota

Non puoi accedere alla chiave di AWS KMS finché non esegui le operazioni PutMedia o GetMedia. Tali operazioni producono i risultati seguenti:

  • Se la chiave specificata non esiste, l'operazione CreateStream riesce, ma le operazioni PutMedia e GetMedia sul flusso produrranno un errore.

  • Se utilizzi la chiave master fornita (aws/kinesis-video), quest'ultima non sarà visualizzata nel tuo account fino a quando non viene eseguita la prima operazione PutMedia o GetMedia.

Autorizzazioni per l'uso di chiavi master AWS KMS generate dall'utente

Prima di utilizzare la crittografia lato server con una chiave master AWS KMS generata dall'utente, devi configurare le policy della chiave di AWS KMS per consentire la crittografia dei flussi, nonché la crittografia e la decrittografia dei record di flusso. Per esempi e ulteriori informazioni suAWS KMSautorizzazioni, vediAutorizzazioni API AWS KMS: Riferimento a operazioni e risorse.

Nota

L'utilizzo della chiave del servizio predefinita per la crittografia non richiede l'applicazione delle autorizzazioni IAM personalizzate.

Prima di utilizzare l'utenteAWS KMSChiave master di, assicurati che i produttori e i consumatori del flusso video di Kinesis (entità IAM) siano utenti nelAWS KMSpolicy master key. In caso contrario, le operazioni di lettura e scrittura dai flussi non riusciranno, causando perdite di dati, ritardi delle elaborazioni o blocchi delle applicazioni. Puoi gestire le autorizzazioni relativeAWS KMSchiavi che utilizzano le policy IAM. Per ulteriori informazioni, consulta la sezione relativa all'uso delle policy IAM con AWS KMS.

Autorizzazioni dei producer di esempio

I produttori del flusso video Kinesis devono disporre delkms:GenerateDataKeyautorizzazione:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:PutMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }

Autorizzazioni dei consumatori di esempio

I consumatori del flusso video Kinesis devono disporre delkms:Decryptautorizzazione:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis-video:GetMedia", ], "Resource": "arn:aws:kinesis-video:*:123456789012:MyStream" } ] }