Amazon MSK 暗号化 - Amazon Managed Streaming for Apache Kafka
保管中の Amazon MSK 暗号化転送中の Amazon MSK 暗号化

Amazon MSK 暗号化

Amazon MSK には、厳格なデータ管理要件を満たすために使用できるデータ暗号化オプションが用意されています。Amazon MSK が暗号化に使用する証明書は、13 か月ごとに更新する必要があります。Amazon MSK は、すべてのクラスターに対してこれらの証明書を自動的に更新します。Amazon MSK が証明書の更新操作を開始した際、 Express ブローカー クラスターは ACTIVEの状態のままになります。標準 ブローカー クラスター の場合、 Amazon MSK は、証明書の更新操作を開始する際に、 クラスター の状態を MAINTENANCE に設定します。更新が完了すると、 MSK は ACTIVE に戻ります。クラスター が証明書の更新操作中の間は、引き続きデータを生成して使用できますが、それに対して更新操作を一切実行できません。

保管中の Amazon MSK 暗号化

Amazon MSK はAWS Key Management Service (KMS) と統合して、透過的なサーバー側暗号化を提供します。Amazon MSK は、保管中のデータを常に暗号化します。MSK クラスターを作成するときに、Amazon MSK が保管中のデータの暗号化に使用する AWS KMS keyを指定できます。KMS キーを指定しない場合、Amazon MSK がユーザーの代わりに AWS マネージドキーを作成し、それを使用します。KMS キーの詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS KMS keys」を参照してください。

転送中の Amazon MSK 暗号化

Amazon MSKは TLS 1.2 を使用します。デフォルトでは、MSK クラスターのブローカー間で転送中のデータを暗号化します。このデフォルトは、クラスターの作成時に上書きできます。

クライアントとブローカー間の通信では、次の 3 つの設定のいずれかを指定する必要があります。

  • TLS 暗号化データのみを許可します。これはデフォルトの設定です。

  • プレーンテキストと TLS 暗号化データの両方を許可します。

  • プレーンテキストのデータのみを許可します。

Amazon MSK ブローカーは、公開 AWS Certificate Manager 証明書を使用します。したがって、Amazon Trust Services を信頼するトラストストアは、Amazon MSK ブローカーの証明書も信頼します。

転送中の暗号化を有効にすることを強くお勧めしますが、CPU オーバーヘッドが増加し、数ミリ秒のレイテンシーが発生する可能性があります。ただし、ほとんどのユースケースはこれらの違いに敏感ではなく、影響の大きさは、クラスター、クライアント、および使用プロファイルの構成によって異なります。