AWS::Kinesis::Stream StreamEncryption - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::Kinesis::Stream StreamEncryption

为指定流启用或更新使用 AWS KMS 密钥的服务器端加密。

开始加密是一项异步操作。收到请求后,Kinesis Data Streams 立即返回并将流的状态设置为 UPDATING。更新完成后,Kinesis Data Streams 将流的状态设置回 ACTIVE。更新或应用加密通常几秒即可完成,但它可能需要几分钟。在流的状态为 UPDATING 时,您可以继续对您的流读取和写入数据。流的状态成为 ACTIVE 之后,即开始对写入流的记录进行加密。

API 限制:在连续的 24 小时期间内,您可以为服务器端加密成功应用 25 次新的 AWS KMS 密钥。

注意:在流进入 ACTIVE 状态之后,最多可能需要 5 秒才能完成对写入流的所有记录的加密流程。启用加密之后,您可以通过检查来自 PutRecordPutRecords 的 API 响应,验证是否已应用加密。

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "EncryptionType" : String, "KeyId" : String }

YAML

EncryptionType: String KeyId: String

属性

EncryptionType

要使用的加密类型。唯一有效值为 KMS

必需:是

类型:字符串

Update requires: No interruption

KeyId

要用于加密的客户托管的 AWS KMS 密钥的 GUID。该值可以是全局唯一标识符、别名或密钥的完全指定的 Amazon 资源名称 (ARN) 或者使用前缀“alias/”的别名名称。您还可以通过指定别名 aws/kinesis,使用 Kinesis Data Streams 所拥有的主密钥进行加密。

  • 密钥 ARN 示例:arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

  • 别名 ARN 示例: arn:aws:kms:us-east-1:123456789012:alias/MyAliasName

  • 全局唯一密钥 ID 示例:12345678-1234-1234-1234-123456789012

  • 别名示例:alias/MyAliasName

  • Kinesis Data Streams 拥有的主密钥:alias/aws/kinesis

必需:是

类型:字符串

最低1

最高2048

Update requires: No interruption