Amazon MWAA 上的加密

下列主題說明 Amazon MWAA 如何保護您的靜態資料和傳輸中的資料。使用此資訊來了解 Amazon MWAA 如何與靜態資料整合以 AWS KMS 加密靜態資料，以及如何使用傳輸中的傳輸層安全性 (TLS) 通訊協定加密資料。

靜態加密

在 Amazon MWAA 上，靜態資料是服務儲存到持續性媒體的資料。

您可以使用AWS 擁有的金鑰進行靜態資料加密，或選擇性地在建立環境時提供客戶管理的金鑰以進行額外的加密。如果您選擇使用客戶受管 KMS 金鑰，則該金鑰必須與您在環境中使用的其他 AWS 資源和服務位於相同的帳戶中。

若要使用客戶管理的 KMS 金鑰，您必須附加必要的原則聲明，才能 CloudWatch 存取您的金鑰原則。當您在環境中使用客戶受管 KMS 金鑰時，Amazon MWAA 會代表您附加四個授權。如需 Amazon MWAA 附加至客戶受管 KMS 金鑰的授權的詳細資訊，請參閱資料加密的客戶受管金鑰。

如果您未指定客戶受管 KMS 金鑰，Amazon MWAA 預設會使用 AWS 擁有的 KMS 金鑰來加密和解密您的資料。我們建議您使用 AWS 擁有的 KMS 金鑰來管理 Amazon MWAA 上的資料加密。

注意

您需要支付 Amazon MWAA 上 AWS 擁有或客戶受管 KMS 金鑰的儲存和使用費用。如需詳細資訊，請參閱 AWS KMS 定價。

加密成品

您可以在建立 Amazon MWAA 環境時指定AWS 擁有的金鑰或客戶受管金鑰，以指定用於靜態加密的加密成品。Amazon MWAA 會將所需的授權新增至您指定的金鑰。

Amazon S3 — Amazon S3 資料會使用伺服器端加密 (SSE) 在物件層級加密。Amazon S3 加密和解密會在儲存 DAG 程式碼和支援檔案的 Amazon S3 儲存貯體上進行。物件上傳到 Amazon S3 時會加密，並在物件下載到您的 Amazon MWAA 環境時進行解密。根據預設，如果您使用的是客戶受管 KMS 金鑰，Amazon MWAA 會使用該金鑰來讀取和解密 Amazon S3 儲存貯體上的資料。

CloudWatch 記錄 — 如果您使用 AWS 擁有的 KMS 金鑰，傳送至記錄的 Apache Airflow CloudWatch 記錄會使用伺服器端加密 (SSE) 與 CloudWatch 記錄 AWS 擁有的 KMS 金鑰加密。如果您使用客戶管理的 KMS 金鑰，則必須將金鑰原則新增至 KMS 金鑰，以允許 CloudWatch 記錄使用您的金鑰。

Amazon SQS — Amazon MWAA 為您的環境建立一個 Amazon SQS 佇列。Amazon MWAA 使用 AWS 擁有的 KMS 金鑰或您指定的客戶管理 KMS 金鑰，使用伺服器端加密 (SSE) 來處理傳入佇列和傳出佇列的資料。無論您使用的是 AWS 擁有的還是客戶受管 KMS 金鑰，都必須將 Amazon SQS 許可新增至執行角色。

Aurora — Amazon MWAA 為您的環境建立一個 PostgreSQL 叢集。Aurora PostgreSQL 使用伺服器端加密 (SSE) 使用 AWS 擁有的或客戶受管的 KMS 金鑰來加密內容。如果您使用客戶受管 KMS 金鑰，Amazon RDS 至少會向金鑰新增兩個授權：一個用於叢集，另一個用於資料庫執行個體。如果您選擇在多個環境中使用客戶受管 KMS 金鑰，Amazon RDS 可能會建立其他授權。如需詳細資訊，請參閱 Amazon RDS 中的資料保護。

傳輸中加密

傳輸中的資料稱為在傳輸網路時可能遭到攔截的資料。

傳輸層安全性 (TLS) 會加密環境 Apache 氣流元件和其他與 Amazon MWA 整合的 AWS 服務之間傳輸中的 Amazon MWAA 物件。例如 Amazon S3。如需 Amazon S3 加密的詳細資訊，請參閱使用加密保護資料。