亚马逊MSK加密 - Amazon Managed Streaming for Apache Kafka
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊MSK加密

Amazon MSK 提供数据加密选项,您可以使用这些选项来满足严格的数据管理要求。Amazon MSK 用于加密的证书必须每 13 个月续订一次。Amazon MSK 会自动为所有集群续订这些证书。在它启动证书更新操作时,它会将集群状态设置为 MAINTENANCE。待更新完成后,它会将集群状态重新设置为 ACTIVE。当集群处于 MAINTENANCE 状态时,您可以继续生成和使用数据,但无法对数据执行任何更新操作。

Amazon MSK 静态加密

Amazon MSK 与 Amazon Key Management Service(KMS) 集成以提供透明的服务器端加密。Amazon MSK 始终对您的静态数据进行加密。创建MSK集群时,您可以指定希望 Amazon MSK 使用 Amazon KMS key 它来加密您的静态数据。如果您未指定KMS密钥,Amazon MSK 会Amazon 托管式密钥为您创建一个密钥并代表您使用该密钥。有关KMS密钥的更多信息,请参阅Amazon Key Management Service 开发人员指南Amazon KMS keys中的。

MSK传输中的亚马逊加密

亚马逊MSK使用 TLS 1.2。默认情况下,它会对MSK集群代理之间传输的数据进行加密。可以在创建集群时覆盖此默认值。

对于客户端和代理之间的通信,您必须指定下列三项设置之一:

  • 仅允许TLS加密数据。这是默认设置。

  • 允许使用纯文本和TLS加密数据。

  • 仅允许明文数据。

亚马逊MSK经纪人使用公共 Amazon Certificate Manager 证书。因此,任何信任亚马逊信托服务的信任商店也信任亚马逊MSK经纪人的证书。

虽然我们强烈建议启用传输中加密,但这可能会增加额外的CPU开销和几毫秒的延迟。但是,大多数使用案例对这些差异并不敏感,影响的程度取决于集群、客户端和使用情况配置文件的配置。