Crittografia Amazon MSK - Amazon Managed Streaming per Apache Kafka
Crittografia dei dati inattiviCrittografia dei dati in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia Amazon MSK

Amazon MSK offre opzioni di crittografia dei dati che puoi utilizzare per soddisfare severi requisiti di gestione dei dati. I certificati utilizzati da Amazon MSK per la crittografia devono essere rinnovati ogni 13 mesi. Amazon MSK rinnova automaticamente questi certificati per tutti i cluster. Imposta lo stato del cluster su MAINTENANCE quando avvia l'operazione di aggiornamento del certificato. Lo stato viene reimpostato su ACTIVE al termine dell'aggiornamento. Mentre un cluster è nello stato MAINTENANCE, è possibile continuare a produrre e consumare dati, ma non è possibile eseguire alcuna operazione di aggiornamento su di esso.

Crittografia dei dati inattivi

Amazon MSK si integra conAWS Key Management Service(KMS) per offrire una crittografia trasparente lato server. Amazon MSK crittografa sempre i tuoi dati inattivi. Quando si crea un cluster MSK, è possibile specificare ilAWS KMS keyche desideri che Amazon MSK utilizzi per crittografare i tuoi dati inattivi. Se non specifichi una chiave KMS, Amazon MSK crea unChiave gestita da AWSper te e lo utilizza per tuo conto. Per ulteriori informazioni sulle chiavi KMS, consultare AWS KMS keys nella Guida per sviluppatori di AWS Key Management Service.

Crittografia dei dati in transito

Amazon MSK utilizza TLS 1.2. Per impostazione predefinita, crittografa i dati in transito tra i broker del cluster MSK. Puoi ignorare questa impostazione predefinita al momento della creazione del cluster.

Per la comunicazione tra client e broker, è necessario specificare una delle tre impostazioni seguenti:

  • Consenti solo dati crittografati TLS. Si tratta dell'impostazione di default.

  • Consenti dati non crittografati e dati crittografati TLS.

  • Consenti solo dati non crittografati.

I broker Amazon MSK utilizzano il pubblicoAWS Certificate Managercertificati. Pertanto, qualsiasi truststore che si fida di Amazon Trust Services si fida anche dei certificati dei broker Amazon MSK.

Sebbene consigliamo vivamente di abilitare la crittografia in transito, può aggiungere ulteriore sovraccarico della CPU e alcuni millisecondi di latenza. Tuttavia, la maggior parte dei casi d'uso non è sensibile a queste differenze e l'entità dell'impatto dipende dalla configurazione del cluster, dei client e del profilo di utilizzo.