Amazon Kinesis Data Firehose의 데이터 보호 - Amazon Kinesis Data Firehose

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon Kinesis Data Firehose의 데이터 보호

중요한 데이터가 있는 경우, Amazon Kinesis Data Firehose를 사용할 때 서버 측 데이터 암호화를 활성화할 수 있습니다. 이 작업은 데이터 소스에 따라 다릅니다.

데이터 원본으로 Kinesis Data Streams를 사용하는 서버 측 암호화

Kinesis데이터 스트림을 Kinesis Data Firehose 전송 스트림의 데이터 원본으로 구성할 때 Kinesis Data Firehose는 유휴 데이터를 더 이상 저장하지 않습니다. 대신에 이런 데이터는 데이터 스트림에 저장됩니다.

데이터 생산자에서 데이터 스트림으로 데이터를 전송할 때 Kinesis Data Streams는 AWS Key Management Service(AWS KMS) 키를 사용하여 데이터를 암호화한 후 유휴 상태로 데이터를 저장합니다. Kinesis Data Firehose 전송 스트림이 데이터 스트림에서 데이터를 읽을 때 Kinesis Data Streams가 해당 데이터의 암호를 해독한 다음 Kinesis Data Firehose로 전송합니다. Kinesis Data Firehose는 사용자가 지정하는 버퍼링 힌트를 바탕으로 메모리에 데이터를 버퍼링합니다. 그런 다음 암호화되지 않은 데이터를 저장하지 않고 대상으로 전송합니다.

Kinesis Data Streams를 위한 서버 측 암호화를 활성화하는 자세한 방법은 Amazon Kinesis Data Streams 개발자 안내서에서 서버 측 암호화 사용 단원을 참조하십시오.

Direct PUT 또는 다른 데이터 원본을 사용한 서버 측 암호화

PutRecord 또는 PutRecordBatch를 사용하여 전송 스트림으로 데이터를 전송하거나, AWS IoT, Amazon CloudWatch Logs 또는 CloudWatch 이벤트를 사용하여 데이터를 전송할 경우, StartDeliveryStreamEncryption 작업을 사용하여 서버 측 암호화를 활성화할 수 있습니다.

서버 측 암호화를 중지하려면 StopDeliveryStreamEncryption 작업을 사용합니다.

또한 전송 스트림을 생성할 때 SSE를 활성화할 수도 있습니다. 이렇게 하려면 CreateDeliveryStream을 호출할 때 DeliveryStreamEncryptionConfigurationInput을 지정합니다.

CUSTOMER_MANAGED_CMK의 유형이 CMK인 경우 KMSNotFoundException, KMSInvalidStateException, KMSDisabledException 또는 KMSAccessDeniedException으로 인해 Amazon Kinesis Data Firehose 서비스가 레코드를 암호 해독할 수 없으면 서비스는 사용자가 해당 문제를 해결할 때까지 최대 24시간(보존 기간) 동안 대기합니다. 보존 기간을 초과하여 문제가 지속되는 경우 서비스에서는 보존 기간이 경과했으며 암호 해독할 수 없는 레코드를 건너뛴 다음 데이터를 삭제합니다. Amazon Kinesis Data Firehose는 4가지 AWS KMS 예외를 추적하는 데 사용할 수 있는 다음과 같은 4가지 CloudWatch 지표를 제공합니다.

  • KMSKeyAccessDenied

  • KMSKeyDisabled

  • KMSKeyInvalidState

  • KMSKeyNotFound

이러한 4가지 지표에 대한 자세한 내용은 CloudWatch 측정치를 사용하여 Kinesis Data Firehose 모니터링 단원을 참조하십시오.

중요

전송 스트림을 암호화하려면 대칭 CMK를 사용합니다. Kinesis Data Firehose에서는 비대칭 CMK를 지원하지 않습니다. 대칭 및 비대칭 CMK에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 대칭 및 비대칭 CMK를 참조하십시오.