從 AWS Firehouse 到 S3 的數據安全性

Question

我想保護從 AWS Firehose 傳輸到 S3 的數據。 我可以在 S3 中的 rest 上啟用數據加密，但是如何確保數據在從 Firehose 傳輸到 S3 時被加密？ 此外，我使用 Kinesis 代理將來自 web 服務器的數據放入 Kinesis Firehose。 在從 web 服務器到 Firehose 的傳輸過程中，有沒有辦法加密數據？

Answer 1

服務之間的數據傳輸將使用https端點而不是http 。

您可以通過添加一個桶策略來確保數據通過 HTTPS 傳輸到您的 S3 桶，該策略將拒絕基於非 HTTPS 的請求的訪問，如下所示。

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::awsexamplebucket",
        "arn:aws:s3:::awsexamplebucket/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

代理應該再次通過 HTTPS 與服務通信，您可以通過從安全組中刪除對端口 80 的訪問或通過在 NACL 中阻止端口 80 訪問來強制執行此操作（盡管這可能是極端的）。

此外，如果使用 EC2 實例，請為您將連接到的服務添加VPC 終端節點。