Kinesis Firehose KMS шифрование

Question

Я настраиваю поток доставки Kinesis Firehose на S3, и я заметил, что вы можете установить собственный ключ KMS, который будет использоваться для шифрования файлов на S3.

Однако, если корзина S3 уже имеетШифрование KMS включено, файлы будут зашифрованы в любом случае.Разница, разумеется, заключается в том, что вместо ключа KMS, управляемого клиентом, поставляемого в Firehose, будет использоваться ключ KMS S3 менеджера AWS по умолчанию.

Какая причина обычно заключается в использовании специального ключа KMS для шифрования Firehose?данные на S3, в отличие от ключа по умолчанию S3 KMS?Есть ли смысл вообще делать это, если вы также являетесь владельцем корзины S3 и управляете ее настройками, или это основное применение, позволяющее использовать шифрование, когда вы не контролируете настройки целиbucket?

Или ключ KMS, связанный с Firehose, также используется для шифрования данных при передаче, в отличие от ключа KMS, предоставляемого S3, который используется для шифрования данных в покое?

Answer 1

Kinesis Firehose будет использовать указанный вами ключ KMS для шифрования объектов при посадке в S3.Возможно, у вас нет контроля над настройками шифрования S3-контейнера, и вы можете использовать ключ KMS (с другими разрешениями), отличный от ключа шифрования KMS по умолчанию S3 по любой причине.В этом сегменте S3 может быть много разных объектов в разных иерархиях, требующих разного шифрования KMS, или нет.

S3 не должен «дважды шифровать» ваши данные.Шифрование KMS от Kinesis Firehose будет указано в заголовке S3 put, поэтому S3 будет знать, какие настройки шифрования использовать при фактической записи.Если в корзине S3 есть настройки KMS по умолчанию, и он не находит настройки шифрования в заголовке вставки (SSE или KMS), то S3 должен применить шифрование по умолчанию, указанное в настройках корзины.