Kinesis Data Streams のサーバー側の暗号化とは - Amazon Kinesis Data Streams

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Kinesis Data Streams のサーバー側の暗号化とは

サーバー側の暗号化は、Amazon Kinesis Data Streams の機能で、 を使用して保管中のデータを自動的に暗号化します。 AWS KMS 指定した カスタマーマスターキー (CMK)。データは、Kinesis ストリームストレージレイヤーに書き込まれる前に暗号化され、ストレージから取得された後で復号されます。その結果、Kinesis Data Streams サービス内で保管中のデータは暗号化されます。これにより、厳格な規制要件を満たし、データのセキュリティを強化することが可能になります。

サーバー側の暗号化を使用すると、Kinesis ストリームプロデューサーとコンシューマーがマスターキーや暗号化オペレーションを管理する必要はありません。データは Kinesis Data Streams サービスに出入りすると自動的に暗号化されるため、保管中のデータは暗号化されます。 AWS KMS は、サーバー側の暗号化機能で使用されるすべてのマスターキーを提供します。 AWS KMS では、 によって管理される Kinesis CMK用の を簡単に使用できます。 AWS、ユーザーが指定した AWS KMS CMK、または にインポートされたマスターキー AWS KMS サービス。

注記

サーバー側の暗号化では、暗号化が有効になって初めて受信データが暗号化されます。暗号化されていないストリーム内に既に存在するデータは、サーバー側の暗号化が有効になった後も暗号化されません。

データストリームを暗号化し、他のプリンシパルへのアクセスを共有する場合は、 のキーポリシーの両方で アクセス許可を付与する必要があります。 AWS KMS キーと外部アカウントのIAMポリシー。詳細については、「他のアカウントのユーザーにKMSキー の使用を許可する」を参照してください。

でデータストリームのサーバー側の暗号化を有効にしている場合 AWS マネージドKMSキーで、リソースポリシーを介してアクセスを共有する場合は、次に示すように、カスタマーマネージドキー (CMK) の使用に切り替える必要があります。

さらに、KMSクロスアカウント共有機能を使用してCMK、共有プリンシパルエンティティが にアクセスできるようにする必要があります。共有プリンシパルエンティティのIAMポリシーも必ず変更してください。詳細については、「他のアカウントのユーザーにKMSキー の使用を許可する」を参照してください。