Cifrado de Amazon MSK - Transmisión gestionada de Amazon para Apache Kafka
Cifrado en reposo de Amazon MSKCifrado en tránsito de Amazon MSK

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de Amazon MSK

Amazon MSK proporciona opciones de cifrado de datos que puede utilizar para cumplir estrictos requisitos de administración de datos. Los certificados que Amazon MSK utiliza para el cifrado deben renovarse cada 13 meses. Amazon MSK renueva automáticamente estos certificados para todos los clústeres. Los clústeres de corredores express permanecen en ACTIVE estado cuando Amazon MSK inicia la operación de actualización de certificados. En el caso de los clústeres de corredores estándar, Amazon MSK establece el estado del clúster en el que MAINTENANCE se inicia la operación de actualización de certificados. MSK lo restablece en el momento en que ACTIVE finaliza la actualización. Mientras un clúster se encuentre en la operación de actualización de certificados, puede seguir produciendo y consumiendo datos, pero no podrá realizar ninguna operación de actualización en ellos.

Cifrado en reposo de Amazon MSK

Amazon MSK se integra con AWS Key Management Service (KMS) para ofrecer cifrado transparente del servidor. Amazon MSK siempre cifra sus datos en reposo. Al crear un clúster de MSK, puede especificar la propiedad AWS KMS key que desea que Amazon MSK utilice para cifrar sus datos en reposo. Si no se especifica una clave de KMS, Amazon MSK crea una administrada por Clave administrada de AWS y la utiliza en su nombre. Para obtener más información acerca de las claves de KMS, consulte AWS KMS keys en la Guía para desarrolladores de AWS Key Management Service .

Cifrado en tránsito de Amazon MSK

Amazon MSK utiliza TLS 1.2. De forma predeterminada, cifra los datos en tránsito entre los agentes de su clúster de MSK. Puede anular este valor predeterminado en el momento en que cree el clúster.

Para la comunicación entre clientes y agentes, debe especificar una de las tres opciones siguientes:

  • Permitir solo datos cifrados TLS. Este es el valor predeterminado.

  • Permitir tanto datos de texto sin formato como datos cifrados TLS.

  • Permitir solo datos de texto sin formato.

Los agentes de Amazon MSK utilizan AWS Certificate Manager certificados públicos. Por lo tanto, cualquier almacén de confianza que confíe en Amazon Trust Services también confía en los certificados de los agentes de Amazon MSK.

Si bien recomendamos encarecidamente habilitar el cifrado en tránsito, puede agregar sobrecarga de CPU adicional y unos pocos milisegundos de latencia. Sin embargo, la mayoría de los casos de uso no son sensibles a estas diferencias y la magnitud del impacto depende de la configuración del clúster, los clientes y el perfil de uso.