O que é criptografia no lado do servidor para o Kinesis Data Streams? - Amazon Kinesis Data Streams

O que é criptografia no lado do servidor para o Kinesis Data Streams?

A criptografia no lado do servidor é um recurso do Amazon Kinesis Data Streams que criptografa automaticamente os dados antes do repouso usando uma chave mestra de cliente (CMK) do AWS KMS, que deve ser especificada. Os dados são criptografados antes de serem gravados na camada de armazenamento do fluxo do Kinesis e descriptografados depois de recuperados do armazenamento. Como resultado, os dados são criptografados em repouso no serviço Kinesis Data Streams. Isso permite atender a requisitos normativos rígidos e aprimorar a segurança dos dados.

Com a criptografia no lado do servidor, seus produtores e consumidores de fluxos do Kinesis não precisam gerenciar chaves mestras ou operações de criptografia. Os dados são criptografados automaticamente ao entrar e sair do serviço Kinesis Data Streams, de modo que os dados em repouso são criptografados. O AWS KMS fornece todas as chaves mestras usadas pelo recurso de criptografia no lado do servidor. O AWS KMS facilita o uso de uma CMK para o Kinesis que é gerenciada pela AWS, uma CMK do AWS KMS especificada pelo usuário ou uma chave mestra importada no serviço do AWS KMS.

nota

Criptografia no lado do servidor criptografa os dados de entrada somente após a criptografia ser ativada. Os dados preexistentes em um fluxo não criptografado não são criptografados após a ativação da criptografia no lado do servidor.

Ao criptografar os fluxos de dados e compartilhar o acesso a outras entidades principais, deve-se conceder permissão na política de chave da chave do AWS KMS e nas políticas do IAM na conta externa. Para ter mais informações, consulte o tópico sobre como Permitir que usuários de outras contas utilizem uma chave do KMS.

Se a criptografia no lado do servidor for habilitada para um fluxo de dados com a chave gerenciada do KMS da AWS e for conveniente compartilhar o acesso por meio de uma política de recursos, será necessário alternar para a chave gerenciada pelo cliente (CMK), conforme a seguinte imagem:

Encryption settings interface with options for server-side encryption and customer-managed CMK.

Além disso, você deve permitir que suas entidades principais de compartilhamento tenham acesso à sua CMK, usando os recursos de compartilhamento entre contas do KMS. Certifique-se também de fazer a alteração nas políticas do IAM para as entidades principais de compartilhamento. Para ter mais informações, consulte o tópico sobre como Permitir que usuários de outras contas utilizem uma chave do KMS.