¿Qué es el cifrado del lado del servidor para Kinesis Data Streams?

El cifrado del lado del servidor es una característica de Amazon Kinesis Data Streams que cifra automáticamente los datos antes de que entren en reposo mediante una clave principal de cliente (CMK) de AWS KMS que usted especifica. Los datos se cifran antes de escribirlos en la capa de almacenamiento del flujo de Kinesis y se descifran después de recuperarlos del almacenamiento. Como resultado, los datos se cifran en reposo en el servicio de Kinesis Data Streams. Esto le permite cumplir requisitos normativos estrictos y mejorar la seguridad de sus datos.

Con el cifrado del lado del servidor, sus consumidores y productores del flujo de Kinesis no tendrán que ocuparse de administrar claves principales ni realizar operaciones criptográficas. Los datos se cifran automáticamente a medida que entran y salen del servicio de Kinesis Data Streams, de modo que los datos en reposo quedan cifrados. AWS KMS proporciona todas las claves principales que utiliza la característica de cifrado del lado del servidor. AWS KMS facilita el uso de una CMK para Kinesis que sea administrada por AWS, una CMK de AWS KMS especificada por el usuario o una clave principal importada del servicio de AWS KMS.

nota

El cifrado en el servidor cifra los datos entrantes solo después de que se habilite el cifrado. Los datos preexistentes de una secuencia sin cifrar no se cifran tras activar el cifrado en el servidor.

Al cifrar sus flujos de datos y compartir el acceso con otras entidades principales, debe conceder permiso tanto en la política de claves para la clave AWS KMS como en las políticas de IAM de la cuenta externa. Para obtener más información, consulte Allowing users in other accounts to use a KMS key (Permitir que los usuarios de otras cuentas utilicen una clave KMS).

Si ha habilitado el cifrado del lado del servidor para un flujo de datos con una clave KMS administrada por AWS y desea compartir el acceso mediante una política de recursos, debe cambiar a la clave administrada por el cliente (CMK), como se muestra a continuación:

Encryption settings interface with options for server-side encryption and customer-managed CMK.

Además, debe permitir que las entidades principales compartidas tengan acceso a su CMK mediante las capacidades de uso compartido entre cuentas de KMS. Asegúrese de realizar también el cambio en las políticas de IAM para las entidades principales compartidas. Para obtener más información, consulte Allowing users in other accounts to use a KMS key (Permitir que los usuarios de otras cuentas utilicen una clave KMS).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Protección de datos en Kinesis Data Streams

Cuestiones sobre costos, regiones y rendimiento