As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O que é criptografia do lado do servidor para o Kinesis Data Streams?
A criptografia do lado do servidor é um recurso do Amazon Kinesis Data Streams que criptografa automaticamente os dados antes que estejam em repouso AWS KMS usando uma chave mestra de cliente () especificada por você. CMK Os dados são criptografados antes de serem gravados na camada de armazenamento do fluxo do Kinesis e descriptografados depois de recuperados do armazenamento. Como resultado, os dados são criptografados em repouso no serviço Kinesis Data Streams. Isso permite que você atenda a requisitos normativos rígidos e aprimore a segurança de seus dados.
Com a criptografia no lado do servidor, seus produtores e consumidores de fluxos do Kinesis não precisam gerenciar chaves mestras ou operações de criptografia. Seus dados são criptografados automaticamente quando entram e saem do serviço Kinesis Data Streams, então seus dados em repouso são criptografados. AWS KMS fornece todas as chaves mestras usadas pelo recurso de criptografia do lado do servidor. AWS KMS facilita o uso de um CMK for Kinesis gerenciado por AWS uma chave mestra especificada pelo usuário AWS KMS CMK ou importada para o serviço. AWS KMS
nota
Criptografia no lado do servidor criptografa os dados de entrada somente após a criptografia ser ativada. Os dados preexistentes em um stream não criptografado não são criptografados após a ativação da criptografia no lado do servidor.
Ao criptografar seus fluxos de dados e compartilhar o acesso a outros principais, você deve conceder permissão na política de chaves da AWS KMS chave e nas IAM políticas da conta externa. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma KMS chave.
Se você habilitou a criptografia do lado do servidor para um fluxo de dados com KMS chave AWS gerenciada e deseja compartilhar o acesso por meio de uma política de recursos, deverá passar a usar a chave gerenciada pelo cliente (CMK), conforme mostrado a seguir:
Além disso, você deve permitir que suas entidades principais de compartilhamento tenham acesso às suasCMK, usando recursos de compartilhamento KMS entre contas. Certifique-se também de fazer a alteração nas IAM políticas das entidades principais de compartilhamento. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma KMS chave.
