As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia no Amazon MWAA
Os tópicos a seguir descrevem como o Amazon MWAA protege seus dados em repouso e em trânsito. Use essas informações para saber como o Amazon MWAA se integra AWS KMS para criptografar dados em repouso e como os dados são criptografados usando o protocolo Transport Layer Security (TLS) em trânsito.
Criptografia em repouso
No Amazon MWAA, dados em repouso são dados que o serviço salva em mídia persistente.
Você pode usar uma chave pertencente àAWS para criptografia de dados em repouso ou, opcionalmente, fornecer uma chave gerenciada pelo cliente para criptografia adicional ao criar um ambiente. Se você optar por usar uma chave KMS gerenciada pelo cliente, ela deverá estar na mesma conta dos outros AWS recursos e serviços que você está usando com seu ambiente.
Para usar uma chave KMS gerenciada pelo cliente, você deve anexar a declaração de política necessária para CloudWatch acessar sua política de chaves. Quando você usa uma chave KMS gerenciada pelo cliente para seu ambiente, o Amazon MWAA atribui quatro concessões em seu nome. Para obter mais informações sobre as concessões que o Amazon MWAA atribui a uma chave KMS gerenciada pelo cliente, consulte Chaves gerenciadas pelo cliente para criptografia de dados.
Se você não especificar uma chave KMS gerenciada pelo cliente, por padrão, o Amazon MWAA usa uma chave KMS AWS própria para criptografar e descriptografar seus dados. Recomendamos o uso de uma AWS chave KMS própria para gerenciar a criptografia de dados no Amazon MWAA.
nota
Você paga pelo armazenamento e uso de chaves KMS AWS próprias ou gerenciadas pelo cliente no Amazon MWAA. Para obter mais informações, consulte Preços do AWS KMS
Artefatos de criptografia
Você especifica os artefatos de criptografia usados para criptografia em repouso especificando uma chave pertencente àAWS ou uma chave gerenciada pelo cliente ao criar seu ambiente do Amazon MWAA. O Amazon MWAA adiciona as concessões necessárias à sua chave especificada.
Amazon S3: os dados do Amazon S3 são criptografados no nível do objeto usando criptografia do lado do servidor (SSE). A criptografia e a descriptografia do Amazon S3 ocorrem no bucket do Amazon S3 onde seu código DAG e os arquivos de suporte são armazenados. Os objetos são criptografados quando são carregados para o Amazon S3 e descriptografados quando são baixados para seu ambiente do Amazon MWAA. Por padrão, se você estiver usando uma chave KMS gerenciada pelo cliente, o Amazon MWAA a usará para ler e descriptografar os dados no seu bucket do Amazon S3.
CloudWatch Registros — Se você estiver usando uma chave KMS própria, os registros do Apache Airflow enviados para o Logs serão criptografados usando a criptografia do lado do servidor (SSE) com CloudWatch a chave KMS de AWS propriedade da CloudWatch Logs. AWS Se você estiver usando uma chave KMS gerenciada pelo cliente, deverá adicionar uma política de chaves à sua chave KMS para permitir que CloudWatch os Logs usem sua chave.
Amazon SQS: o Amazon MWAA cria uma fila do Amazon SQS para seu ambiente. O Amazon MWAA manipula a criptografia de dados passados de e para a fila usando criptografia do lado do servidor (SSE) com uma chave KMS própria ou uma chave AWS KMS gerenciada pelo cliente que você especificar. Você deve adicionar permissões do Amazon SQS à sua função de execução, independentemente de estar usando uma chave KMS AWS própria ou gerenciada pelo cliente.
Aurora PostgreSQL: o Amazon MWAA cria um cluster PostgreSQL para seu ambiente. O Aurora PostgreSQL criptografa o conteúdo com uma chave KMS AWS própria ou gerenciada pelo cliente usando criptografia do lado do servidor (SSE). Se você estiver usando uma chave KMS gerenciada pelo cliente, o Amazon RDS adiciona pelo menos duas concessões à chave: uma para o cluster e outra para a instância do banco de dados. O Amazon RDS pode criar concessões adicionais se você optar por usar sua chave KMS gerenciada pelo cliente em vários ambientes. Para obter mais informações, consulte Proteção de dados no Amazon RDS.
Criptografia em trânsito
Os dados em trânsito são chamados de dados que podem ser interceptados enquanto viajam pela rede.
O Transport Layer Security (TLS) criptografa os objetos do Amazon MWAA em trânsito entre os componentes do Apache Airflow do seu ambiente e outros serviços AWS que se integram ao Amazon MWAA, como o Amazon S3. Para obter mais informações sobre a criptografia da Amazon S3, consulte Como proteger dados usando criptografia.
