Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

亚马逊 Data Firehose 以前被称为亚马逊 Kinesis Data Firehose

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

亚马逊 Data Firehose 中的数据保护

Amazon Data Firehose 使用 TLS 协议对所有传输中的数据进行加密。此外，对于处理期间存储在临时存储中的数据，Amazon Data Firehose 会使用校验和验证来加密数据，Amazon Key Management Service并使用校验和验证来验证数据完整性。

如果您有敏感数据，则可以在使用 Amazon Data Firehose 时启用服务器端数据加密。执行此操作的方式取决于您的数据源。

使用 Kinesis Data Streams 作为数据来源的服务器端加密

当您将数据从数据生成器发送到数据流时，Kinesis Data Streams 会在存储静态数据之前使用 Amazon Key Management Service Amazon KMS() 密钥对数据进行加密。当你的亚马逊数据 Firehose Firehose 流从你的数据流中读取数据时，Kinesis Data Streams 会首先解密数据，然后将其发送到亚马逊数据 Firehose。Amazon Data Firehose 根据您指定的缓冲提示在内存中缓冲数据。然后将其传输到目标，而不以静态方式存储未加密数据。

有关如何为 Kinesis Data Streams 启用服务器端加密的信息，请参阅《Amazon Kinesis Data Streams 开发人员指南》中的使用服务器端加密。

使用 Direct PUT 或其他数据来源的服务器端加密

如果您使用或向 Firehose 流发送数据 PutRecordBatch，PutRecord或者使用 Amazon IoT Amazon L CloudWatch ogs 或 CloudWatch Events 发送数据，则可以使用该操作开启服务器端加密。StartDeliveryStreamEncryption

要停止 server-side-encryption，请使用StopDeliveryStreamEncryption操作。

你也可以在创建 Firehose 直播时启用 SSE。为此，请指定DeliveryStreamEncryptionConfigurationInput何时调用CreateDeliveryStream。

当 CMK 为类型时CUSTOMER_MANAGED_CMK，如果 Amazon Data Firehose 服务因为 KMSNotFoundException a、a、a 或 KMSInvalidStateException KMSAccessDeniedException a 而无法解密记录，则该服务最多会等待 24 小时（保留期）才能解决问题。KMSDisabledException如果保留期过后，问题仍然存在，服务会跳过已过保留期但无法解密的记录，然后丢弃数据。Amazon Data Firehose 提供了以下四个 CloudWatch 指标，您可以使用这些指标来跟踪这四个 Amazon KMS 异常：

有关这 4 个指标的更多信息，请参阅使用指标监控亚马逊数据 Firehose CloudWatch 。