Kinesis Data Streams 用のサーバー側の暗号化とは?

サーバー側の暗号化は、指定した AWS KMS カスタマーマスターキー (CMK) を使用して、保管中のデータを自動的に暗号化する Amazon Kinesis Data Streams の機能です。データは、Kinesis ストリームストレージレイヤーに書き込まれる前に暗号化され、ストレージから取得された後で復号されます。その結果、Kinesis Data Streams サービス内で保管中のデータは暗号化されます。これにより、厳格な規制要件を満たし、データのセキュリティを強化することが可能になります。

サーバー側の暗号化を使用すると、Kinesis ストリームプロデューサーとコンシューマーがマスターキーや暗号化オペレーションを管理する必要はありません。データは Kinesis Data Streams サービスに出入りするときに自動的に暗号化されるため、保管中のデータは暗号化されます。 AWS KMS は、サーバー側の暗号化機能で使用されるすべてのマスターキーを提供します。 AWS KMS は、 によって管理される Kinesis 用の CMK AWS、ユーザーが指定した AWS KMS CMK、または AWS KMS サービスにインポートされたマスターキーを簡単に使用できるようにします。

注記

サーバー側の暗号化では、暗号化が有効になって初めて受信データが暗号化されます。暗号化されていないストリーム内に既に存在するデータは、サーバー側の暗号化が有効になった後も暗号化されません。

データストリームを暗号化し、他のプリンシパル (1 つ) へのアクセスを共有する場合は、 AWS KMS キーのキーポリシーと外部アカウントの IAM ポリシーの両方でアクセス許可を付与する必要があります。詳細については、「その他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

AWS マネージド KMS キーを使用してデータストリームのサーバー側の暗号化を有効にしていて、リソースポリシーを介してアクセスを共有する場合は、次に示すように、カスタマーマネージドキー (CMK) の使用に切り替える必要があります。

さらに、KMS のクロスアカウント共有機能を使用して、共有プリンシパルエンティティが CMK にアクセスできるようにする必要があります。共有プリンシパルエンティティの IAM ポリシーも必ず変更してください。詳細については、「その他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。