本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊MSK加密
Amazon MSK 提供数据加密选项,您可以使用这些选项来满足严格的数据管理要求。Amazon MSK 用于加密的证书必须每 13 个月续订一次。Amazon MSK 会自动为所有集群续订这些证书。在它启动证书更新操作时,它会将集群状态设置为 MAINTENANCE
。待更新完成后,它会将集群状态重新设置为 ACTIVE
。当集群处于 MAINTENANCE
状态时,您可以继续生成和使用数据,但无法对数据执行任何更新操作。
Amazon MSK 静态加密
Amazon MSK 与 Amazon Key Management Service(KMS) 集成以提供透明的服务器端加密。Amazon MSK 始终对您的静态数据进行加密。创建MSK集群时,您可以指定希望 Amazon MSK 使用 Amazon KMS key 它来加密您的静态数据。如果您未指定KMS密钥,Amazon MSK 会Amazon 托管式密钥为您创建一个密钥并代表您使用该密钥。有关KMS密钥的更多信息,请参阅Amazon Key Management Service 开发人员指南Amazon KMS keys中的。
MSK传输中的亚马逊加密
亚马逊MSK使用 TLS 1.2。默认情况下,它会对MSK集群代理之间传输的数据进行加密。可以在创建集群时覆盖此默认值。
对于客户端和代理之间的通信,您必须指定下列三项设置之一:
仅允许TLS加密数据。这是默认设置。
允许使用纯文本和TLS加密数据。
仅允许明文数据。
亚马逊MSK经纪人使用公共 Amazon Certificate Manager 证书。因此,任何信任亚马逊信托服务的信任商店也信任亚马逊MSK经纪人的证书。
虽然我们强烈建议启用传输中加密,但这可能会增加额外的CPU开销和几毫秒的延迟。但是,大多数使用案例对这些差异并不敏感,影响的程度取决于集群、客户端和使用情况配置文件的配置。