我正在使用Cloudformation堆栈,我有一个管道Kinesis Stream ==> Kinesis Firehose ==> S3 Bucket。在Kinesis Stream template中,它列出了StreamEncryption字段并说,
StreamEncryption
使用启用或更新服务器端加密 指定流的AWS KMS密钥。
我在那里加粗了有问题的陈述。
此外,来自here,
当您将数据生成器中的数据发送到Kinesis流时, Kinesis Data Streams服务使用AWS KMS加密您的数据 在将它存放在休息之前键。当您的Kinesis Data Firehose时 传输流从您的Kinesis流中读取数据, Kinesis Data Streams服务首先解密数据然后将其发送给 Kinesis Data Firehose 。 Kinesis Data Firehose缓冲数据 内存基于您指定然后传递的缓冲提示 它不会将未加密的数据保存在您的目的地。
我希望最终在S3中的记录使用我的KMS密钥进行加密,这样一个对我的S3完全访问但不能访问KMS的人将无法读取数据。
这样做吗?如果没有,我如何让数据在S3内“加倍”加密?
答案 0 :(得分:0)
一个hack,这不是一个好的解决方案,但现在的工作原理是对数据进行Firehose do a Lambda Transform,但是自己从Lambda加密并写出数据。
非理想但功能齐全。