Amazon データFirehose におけるデータ保護 - Amazon Data Firehose
データソースとして Kinesis Data Streams を使用したサーバー側の暗号化Direct PUT または他のデータソースを使用したサーバー側の暗号化

Amazon Data Firehose は、以前は Amazon Kinesis Data Firehose として知られていました

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon データFirehose におけるデータ保護

Amazon Data Firehose は、TLS プロトコルを使用して転送中のすべてのデータを暗号化します。さらに、処理中に中間ストレージに保存されたデータについては、Amazon Data Firehose AWS Key Management Serviceはチェックサム検証を使用してデータを暗号化し、データの整合性を検証します。

機密データがある場合は、Amazon Data Firehose を使用するときにサーバー側のデータ暗号化を有効にできます。これを行う方法は、データソースによって異なります。

注記

コマンドラインインターフェイスまたは API AWS を介してアクセスするときに FIPS 140-2 で検証された暗号モジュールが必要な場合は、FIPS エンドポイントを使用してください。利用可能な FIPS エンドポイントの詳細については、[連邦情報処理規格 (FIPS) 140-2 ] をご参照ください。

データソースとして Kinesis Data Streams を使用したサーバー側の暗号化

データプロデューサーからデータストリームにデータを送信すると、Kinesis Data Streams はデータを保存する前に AWS Key Management Service (AWS KMS) キーを使用してデータを暗号化します。Amazon Data Firehose ストリームがデータストリームからデータを読み取ると、Kinesis Data Streams はまずデータを復号化してから Amazon Data Firehose に送信します。Amazon Data Firehose は、指定したバッファリングヒントに基づいてデータをメモリにバッファします。その後、暗号化されていないデータを保存することなく、送信先に配信します。

Kinesis Data Streams でサーバー側の暗号化を有効にする方法については、Amazon Kinesis Data Streams 開発者ガイドの「サーバー側の暗号化の使用」を参照してください。

Direct PUT または他のデータソースを使用したサーバー側の暗号化

またはを使用して Firehose PutRecordストリームにデータを送信するかPutRecordBatch、Amazon CloudWatch Logs または CloudWatch Events AWS IoTを使用してデータを送信する場合は、オペレーションを使用してサーバー側の暗号化を有効にできます。StartDeliveryStreamEncryption

停止するには server-side-encryption、オペレーションを使用してください。StopDeliveryStreamEncryption

Firehose ストリームを作成するときに SSE を有効にすることもできます。そのためには、DeliveryStreamEncryptionConfigurationInputいつ呼び出すかを指定します。CreateDeliveryStream

CMK がタイプでCUSTOMER_MANAGED_CMK、a、a、a、または a KMSNotFoundException が原因で Amazon Data Firehose サービスがレコードを復号化できない場合KMSAccessDeniedException、問題が解決するまでサービスは最大 24 時間 (保持期間) 待機します。KMSInvalidStateException KMSDisabledException保持期間を超えて問題が解決されない場合、サービスは、保持期間を超えて復号できなかったレコードをスキップし、データを破棄します。Amazon Data Firehose には、4 AWS KMS つの例外を追跡するために使用できる次の 4 CloudWatch つのメトリックスが用意されています。

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

これら 4 つのメトリクスの詳細については、「 CloudWatch メトリックスを使用した Amazon データFirehose モニタリング」を参照してください。

重要

Firehose ストリームを暗号化するには、対称 CMK を使用します。Amazon データFirehose は非対称 CMK をサポートしていません。対称 CMK と非対称 CMK の詳細については、開発者ガイドの「対称 CMK と非対称 CMK について」を参照してください。 AWS Key Management Service

注記

カスタマー管理キー (CUSTOMER_MANAGED_CMK) を使用して Firehose デリバリーストリームのサーバー側暗号化 (SSE) を有効にすると、Firehose サービスはキーを使用するたびに暗号化コンテキストを設定します。この暗号化コンテキストは、アカウントが所有するキーが使用されたことを表しているため、 AWS アカウントのイベントログの一部として記録されます。 AWS CloudTrail AWS この暗号化コンテキストは、Firehose サービスによってシステム生成されます。アプリケーションでは、Firehose サービスによって設定された暗号化コンテキストの形式や内容について何も想定しないでください。