本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Managed Service for Apache Flink 中的数据保护
<a name="data-protection"></a>

您可以使用提供的工具保护您的数据 Amazon。Amazon MSF 可以与支持加密数据的服务配合使用，包括 Firehose 和 Amazon S3。

## Managed Service for Apache Flink 中的数据加密
<a name="data-encryption"></a>

### 静态加密
<a name="encryption-rest"></a>

在使用 Amazon MSF 静态加密数据时，请注意以下事项：
+ 您可以使用对传入的 Kinesis 数据流上的数据进行加密。[StartStreamEncryption](https://docs.amazonaws.cn/kinesis/latest/APIReference/API_StartStreamEncryption.html)有关更多信息，请参阅[什么是 Kinesis 数据流的服务器端加密？](https://docs.amazonaws.cn/streams/latest/dev/what-is-sse.html)。
+ 输出数据可以使用 Firehose 进行静态加密，以将数据存储在加密的 Amazon S3 存储桶中。您可以指定您的 Amazon S3 存储桶使用的加密密钥。有关更多信息，请参阅[使用具有 KMS - 托管密钥的服务器端加密 (SSE-KMS) 保护数据](https://docs.amazonaws.cn/AmazonS3/latest/dev/UsingKMSEncryption.html)。
+ Amazon MSF 可以从任何流式传输源中读取，并写入到任何流式传输或数据库目标。确保源和目标对传输中的所有数据和静态数据进行加密。
+ 您的应用程序的代码是静态加密的。
+ 对持久性的应用程序存储进行静态加密。
+ 对正在运行的应用程序存储进行静态加密。

### 传输中加密
<a name="encryption-transit"></a>

Amazon MSF 对所有传输中的数据进行加密。传输中加密对所有 Amazon MSF 应用程序都处于启用状态，无法禁用。

Amazon MSF 在以下场景中对传输中的数据进行加密：
+ 从 Kinesis Data Streams 传输到 Amazon MSF 的数据。
+ Amazon MSF 的内部组件之间的传输中的数据。
+ 在 Amazon MSF 和 Firehose 之间传输的数据。

### 密钥管理
<a name="key-management"></a>

在 Amazon MSF 中，您可以使用服务托管密钥或自己的客户自主管理型密钥，对数据进行加密。有关更多信息，请参阅 [Amazon Managed Service for Apache Flink 中的密钥管理](key-management-flink.md)。