本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon MSK 加密
Amazon MSK 提供資料加密選項,您可以使用這些選項來符合嚴格的資料管理需求。Amazon MSK 用於加密的憑證必須每 13 個月更新一次。Amazon MSK 會自動更新所有叢集的這些憑證。啟動憑證更新作業時,它會將叢集的狀態設定為 MAINTENANCE。更新完成時,它會將設定調回 ACTIVE。當叢集處於 MAINTENANCE 狀態時,您可以繼續產生和使用資料,但無法對叢集執行任何更新作業。
靜態加密
Amazon MSK 與 AWS Key Management Service (KMS) 整合,以提供透明的伺服器端加密。Amazon MSK 一律會加密靜態資料。建立 MSK 叢集代理程式時,可以指定想要 Amazon MSK 用來加密靜態資料的 AWS KMS key 。如不指定 KMS 金鑰,Amazon MSK 就會為您建立 AWS 受管金鑰,並代表您使用它。如需 KMS 金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS KMS keys。
傳輸中加密
Amazon MSK 使用 TLS 1.2。根據預設,會加密您 MSK 叢集代理程式之間傳輸中的資料。您可以在建立叢集時覆寫此預設值。
針對用戶端與代理程式之間的通訊,您必須指定下列三種設定之一:
只允許 TLS 加密的資料。這是預設設定。
允許純文字,以及 TLS 加密的資料。
只允許純文字資料。
Amazon MSK 代理程式使用公有 AWS Certificate Manager 憑證。因此,任何信任 Amazon 信任服務的信任存放區,也會信任 Amazon MSK 代理程式憑證。
我們強烈建議啟用傳輸中加密,但這可能會給 CPU 增加額外的負荷和幾毫秒的延遲。不過,大多數使用案例對這些差異並不敏感,且影響程度取決於叢集、用户端和使用設定檔的組態。
