Amazon MSK 加密 - Amazon Managed Streaming for Apache Kafka
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon MSK 加密

Amazon MSK 提供了数据加密选项,可使用这些选项来满足严格的数据管理要求。Amazon MSK 用于加密的证书必须每 13 个月续订一次。Amazon MSK 会自动为所有集群续订这些证书。在它启动证书更新操作时,它会将集群状态设置为 MAINTENANCE。待更新完成后,它会将集群状态重新设置为 ACTIVE。当集群处于 MAINTENANCE 状态时,您可以继续生成和使用数据,但无法对数据执行任何更新操作。

加密于 Rest

Amazon MSK 集成了 AWS Key Management Service (KMS) 以提供透明的服务器端加密。Amazon MSK 始终加密您的静态数据。当您创建 MSK 集群 时,您可以指定希望 Amazon MSK 用于加密静态数据的 AWS KMS 客户主密钥 (CMK)。如果您未指定 CMK,Amazon MSK 会为您创建 AWS 托管 CMK,并代表您使用它。有关 CMKs,请参阅 客户主密钥(CMK)AWS Key Management Service Developer Guide.

传输中加密

Amazon MSK 使用 TLS 1.2。默认情况下,它加密在 MSK 集群 代理之间传输的数据。可以在创建集群时覆盖此默认值。

对于客户端和代理之间的通信,您必须指定下列三项设置之一:

  • 仅允许 TLS 加密数据。这是默认设置。

  • 同时允许明文数据和 TLS 加密数据。

  • 仅允许明文数据。

Amazon MSK 代理使用 AWS Certificate Manager 公有证书。因此,任何信任 Amazon Trust Services 的信任存储也会信任 Amazon MSK 代理的证书。

启用加密会使性能降低约 30%。不过,确切的百分比取决于集群和客户端的配置。