本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在亚马逊上加密 MWAA
以下主题介绍了 Amazon 如何MWAA保护您的静态和传输中的数据。使用此信息来了解 Amazon 如何与MWAA集成 Amazon KMS 以加密静态数据,以及如何使用传输层安全 (TLS) 协议对传输中的数据进行加密。
静态加密
在 Amazon 上MWAA,静态数据是服务保存到永久媒体的数据。
您可以使用 Amazon 自有密钥进行静态数据加密,也可以选择在创建环境时提供由客户托管的密钥以进行额外加密。如果您选择使用客户托管KMS密钥,则该密钥必须与您在环境中使用的其他 Amazon 资源和服务位于同一个账户中。
要使用客户托管KMS密钥,您必须附上所需的政策声明才能 CloudWatch 访问您的密钥策略。当您在环境中使用客户托管KMS密钥时,Amazon 会代表您MWAA附加四项授权。有关 Amazon MWAA 对客户托管KMS密钥的授予的更多信息,请参阅用于数据加密的客户托管密钥。
如果您未指定客户托管KMS密钥,则默认情况下,Amazon 会MWAA使用 Amazon 自有的KMS密钥来加密和解密您的数据。我们建议使用 Amazon 自有KMS密钥在 Amazon 上管理数据加密MWAA。
注意
您需要为在 Amazon 上存储和使用 Amazon 自有或客户托管的KMS密钥付费MWAA。有关更多信息,请参阅Amazon KMS 定价
加密构件
在创建 Amazon MWAA 环境时,您可以通过指定Amazon 自有密钥或客户托管密钥来指定用于静态加密的加密项目。Amazon MWAA 会将所需的授权添加到您的指定密钥中。
Amazon S 3 — Amazon S3 数据使用服务器端加密 () 在对象级别进行加密。SSEAmazon S3 加密和解密是在存储您的DAG代码和支持文件的 Amazon S3 存储桶上进行的。对象在上传到 Amazon S3 时会被加密,下载到您的亚马逊MWAA环境时会被解密。默认情况下,如果您使用的是客户托管KMS密钥,Amazon 会MWAA使用它来读取和解密您的 Amazon S3 存储桶中的数据。
CloudWatch 日志-如果您使用的是自有KMS密钥,则发送到日志的 Apache Airflow CloudWatch 日志将使用服务器端加密 (SSE) 和 CloudWatch 日志 Amazon 拥有的 Amazon 密钥进行加密。KMS如果您使用的是客户托管KMS密钥,则必须在密钥中添加密钥策略以允许 CloudWatch Logs 使用您的密钥。KMS
亚马逊 SQS — 亚马逊为您的环境MWAA创建一个亚马逊SQS队列。Amazon 使用服务器端加密 (SSE) 使用 Amazon 自有密钥或您指定的客户托管KMSKMS密钥来MWAA处理传入和传出队列的数据。无论您使用的是 Amazon 自有密钥还是客户托管KMS密钥,都必须向您的执行角色添加 Amazon SQS 权限。
Aurora Postgre SQL — 亚马逊为您的环境MWAA创建一个 Postgre SQL 集群。Aurora Postgre 使用服务器端SQL加密 () 使用 Amazon 自有密钥或客户托管KMS密钥对内容进行加密。SSE如果您使用的是客户托管KMS密钥,Amazon RDS 会为该密钥添加至少两个授权:一个用于集群,一个用于数据库实例。如果您选择在多个环境中使用客户托管KMS密钥,Amazon RDS 可能会创建额外的授权。有关更多信息,请参阅 Amazon 中的数据保护RDS。
传输中加密
传输中的数据是指在网络中传输时可能被拦截的数据。
传输层安全 (TLS) 对环境的 Apache Airflow 组件与其他与亚马逊集成的 Amazon 服务(例如 Amazon S3)之间传输的亚马逊MWAA对象进行加密MWAA。有关 Amazon S3 加密的更多信息,请参阅使用加密保护数据。