Amazon Data Firehose でのデータ保護 - Amazon Data Firehose
Kinesis Data Streams によるサーバー側の暗号化直接PUTまたはその他のデータソースによるサーバー側の暗号化

Amazon S3 の Apache Iceberg テーブルへの Amazon Data Firehose ストリームの配信はプレビュー中であり、変更される可能性があります。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Data Firehose でのデータ保護

Amazon Data Firehose は、転送中のすべてのデータをTLSプロトコルを使用して暗号化します。さらに、処理中に中間ストレージに保存されるデータの場合、Amazon Data Firehose は を使用してデータを暗号化AWS Key Management Serviceし、チェックサム検証を使用してデータの整合性を検証します。

機密データがある場合は、Amazon Data Firehose の使用時にサーバー側のデータ暗号化を有効にできます。これを行う方法は、データソースによって異なります。

注記

コマンドラインインターフェイスまたは AWS を介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合はAPI、FIPSエンドポイントを使用します。利用可能なFIPSエンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

Kinesis Data Streams によるサーバー側の暗号化

データプロデューサーからデータストリームにデータを送信すると、Kinesis Data Streams は保管中のデータを保存する前に AWS Key Management Service (AWS KMS) キーを使用してデータを暗号化します。Firehose ストリームがデータストリームからデータを読み取ると、Kinesis Data Streams はまずデータを復号してから Amazon Data Firehose に送信します。Amazon Data Firehose は、指定したバッファリングヒントに基づいてメモリ内のデータをバッファします。その後、暗号化されていないデータを保存することなく、送信先に配信します。

Kinesis Data Streams でサーバー側の暗号化を有効にする方法については、Amazon Kinesis Data Streams 開発者ガイドの「サーバー側の暗号化の使用」を参照してください。

直接PUTまたはその他のデータソースによるサーバー側の暗号化

PutRecord または を使用して Firehose ストリームにデータを送信する場合PutRecordBatch、または AWS IoT、Amazon CloudWatch Logs、または CloudWatch Events を使用してデータを送信する場合は、 StartDeliveryStreamEncryptionオペレーションを使用してサーバー側の暗号化を有効にできます。

を停止するには server-side-encryption、 StopDeliveryStreamEncryptionオペレーションを使用します。

Firehose ストリームを作成するSSEときに を有効にすることもできます。これを行うには、 を呼び出すDeliveryStreamEncryptionConfigurationInputときに を指定しますCreateDeliveryStream

CMK がタイプ の場合CUSTOMER_MANAGED_CMK、、、KMSNotFoundExceptionKMSInvalidStateExceptionKMSDisabledExceptionまたは が原因で Amazon Data Firehose サービスがレコードを復号化できない場合KMSAccessDeniedException、サービスは問題を解決するまで最大 24 時間 (保持期間) 待機します。保持期間を超えて問題が解決されない場合、サービスは、保持期間を超えて復号できなかったレコードをスキップし、データを破棄します。Amazon Data Firehose には、4 つの AWS KMS 例外を追跡するために使用できる次の 4 つの CloudWatch メトリクスが用意されています。

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

これら 4 つのメトリクスの詳細については、「 CloudWatch メトリクスによる Amazon Data Firehose のモニタリング」を参照してください。

重要

Firehose ストリームを暗号化するには、対称 を使用しますCMKs。Amazon Data Firehose は非対称 をサポートしていませんCMKs。対称および非対称 の詳細についてはCMKs、 デ AWS Key Management Service ベロッパーガイドの「対称および非対称についてCMKs」を参照してください。

注記

カスタマーマネージドキー (CUSTOMER_MANAGED_CMK) を使用して Firehose ストリームのサーバー側の暗号化 (SSE) を有効にすると、Firehose サービスはキーを使用するたびに暗号化コンテキストを設定します。この暗号化コンテキストは、 AWS アカウントが所有するキーが使用された出現を表すため、 AWS アカウントの AWS CloudTrail イベントログの一部として記録されます。この暗号化コンテキストは、Firehose サービスによって生成されるシステムです。アプリケーションは、Firehose サービスによって設定された暗号化コンテキストの形式やコンテンツについて仮定しないでください。