Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in Kinesis Video Streams
Sie können serverseitige Verschlüsselung (SSE) mit AWS Key Management Service (AWS KMS) -Schlüsseln verwenden, um strenge Datenverwaltungsanforderungen zu erfüllen, indem Sie Ihre ruhenden Daten in Amazon Kinesis Video Streams verschlüsseln.
**Topics**
+ [Was ist serverseitige Verschlüsselung für Kinesis Video Streams?](#what-is-sse-akvs)
+ [Überlegungen zu Kosten, Regionen und Leistung](#costs-performance-akvs)
+ [Wie fange ich mit der serverseitigen Verschlüsselung an?](#getting-started-with-sse-akvs)
+ [Einen vom Kunden verwalteten Schlüssel erstellen und verwenden](#creating-using-sse-master-keys-akvs)
+ [Berechtigungen zur Verwendung eines vom Kunden verwalteten Schlüssels](#permissions-user-key-KMS-akvs)
## Was ist serverseitige Verschlüsselung für Kinesis Video Streams?
Server-side Verschlüsselung ist eine Funktion in Kinesis Video Streams, die Daten mit einem von Ihnen angegebenen AWS KMS Schlüssel automatisch verschlüsselt, bevor sie im Ruhezustand gespeichert werden. Die Daten werden verschlüsselt, bevor sie in die Stream-Speicherschicht von Kinesis Video Streams geschrieben werden. Nach Abruf aus dem Speicher werden sie entschlüsselt. Dadurch werden Ihre Daten stets im Ruhezustand im Kinesis-Video-Streams-Service verschlüsselt.
Dank serverseitiger Verschlüsselung müssen Ihre Kinesis-Videostream-Produzenten und -Nutzer keine KMS-Schlüssel oder kryptografische Operationen verwalten. Wenn die Datenspeicherung aktiviert ist, werden Ihre Daten beim Ein- und Austritt aus Kinesis Video Streams automatisch verschlüsselt, sodass Ihre Daten im Ruhezustand verschlüsselt sind. AWS KMS stellt alle Schlüssel bereit, die von der serverseitigen Verschlüsselungsfunktion verwendet werden. AWS KMS optimiert die Verwendung eines KMS-Schlüssels für Kinesis Video Streams, der von einem benutzerdefinierten AWS KMS Schlüssel verwaltet wird AWS, der in den Service importiert wurde. AWS KMS
## Überlegungen zu Kosten, Regionen und Leistung
Wenn Sie serverseitige Verschlüsselung anwenden, fallen Kosten für AWS KMS API-Nutzung und Schlüssel an. Im Gegensatz zu benutzerdefinierten AWS KMS Schlüsseln wird der `aws/kinesisvideo` Standard-KMS-Schlüssel kostenlos angeboten. Sie müssen jedoch weiterhin die API-Nutzungskosten bezahlen, die Kinesis Video Streams in Ihrem Namen entstehen.
API-Nutzungskosten fallen für jeden KMS-Schlüssel an, auch für benutzerdefinierte. Die AWS KMS Kosten hängen von der Anzahl der Benutzeranmeldedaten ab, die Sie bei Ihren Datenproduzenten und -verbrauchern verwenden, da für jeden Benutzeranmeldenachweis ein eindeutiger API-Aufruf erforderlich ist. AWS KMS
Im Folgenden werden die Kosten pro Ressource aufgeführt:
**Schlüssel**
+ Der KMS-Schlüssel für Kinesis Video Streams, der von AWS (alias =`aws/kinesisvideo`) verwaltet wird, ist kostenlos.
+ User-generated KMS-Schlüssel sind AWS KMS key kostenpflichtig. Weitere Informationen finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/#Keys).
### AWS KMS API-Nutzung
API-Anfragen zur Generierung neuer Datenverschlüsselungsschlüssel oder zum Abrufen vorhandener Verschlüsselungsschlüssel nehmen mit zunehmendem Datenverkehr zu und sind mit AWS KMS Nutzungskosten verbunden. Weitere Informationen finden Sie unter [AWS Key Management Service Preise: Nutzung](https://aws.amazon.com/kms/pricing/#Usage).
Kinesis Video Streams generiert wichtige Anfragen, auch wenn die Aufbewahrung auf 0 gesetzt ist (keine Aufbewahrung).
### Verfügbarkeit serverseitiger Verschlüsselung nach Regionen
Server-side Die Verschlüsselung von Kinesis Video Streams ist überall verfügbar, AWS-Regionen wo Kinesis Video Streams verfügbar ist.
## Wie fange ich mit der serverseitigen Verschlüsselung an?
Server-side Die Verschlüsselung ist bei Kinesis Video Streams immer aktiviert. Wenn bei der Erstellung des Streams kein vom Benutzer bereitgestellter Schlüssel angegeben wird, wird der Von AWS verwalteter Schlüssel (von Kinesis Video Streams bereitgestellt) verwendet.
Ein vom Benutzer bereitgestellter KMS-Schlüssel muss einem Kinesis-Videostream zugewiesen werden, wenn er erstellt wird. Sie können einem Stream später mithilfe der [UpdateStream](https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/API_UpdateStream.html)API keinen anderen Schlüssel zuweisen.
Sie können einem Kinesis-Videostream auf zwei Arten einen vom Benutzer bereitgestellten KMS-Schlüssel zuweisen:
+ Geben Sie beim Erstellen eines Kinesis-Videostreams in den AWS-Managementkonsole den den KMS-Schlüssel auf der Registerkarte **Verschlüsselung** auf der Seite **Neuen Videostream erstellen** an.
+ Geben Sie beim Erstellen eines Kinesis-Videostreams mithilfe der [CreateStream](https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/API_CreateStream.html)API die Schlüssel-ID im `KmsKeyId` Parameter an.
## Einen vom Kunden verwalteten Schlüssel erstellen und verwenden
In diesem Abschnitt wird beschrieben, wie Sie Ihre eigenen KMS-Schlüssel erstellen und verwenden können, anstatt den von Amazon Kinesis Video Streams verwalteten Schlüssel zu verwenden.
### Einen vom Kunden verwalteten Schlüssel erstellen
Informationen zum Erstellen eigener Schlüssel finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide*. Nachdem Sie Schlüssel für Ihr Konto erstellt haben, gibt der Kinesis Video Streams Streams-Dienst diese Schlüssel in der Liste der vom **Kunden verwalteten Schlüssel** zurück.
### Verwenden eines vom Kunden verwalteten Schlüssels
Nachdem Ihren Verbrauchern, Produzenten und Administratoren die richtigen Berechtigungen zugewiesen wurden, können Sie benutzerdefinierte KMS-Schlüssel in Ihrem eigenen AWS-Konto oder einem anderen System verwenden AWS-Konto. Alle KMS-Schlüssel in Ihrem Konto werden in der Liste der vom **Kunden verwalteten Schlüssel** auf der Konsole angezeigt.
Um benutzerdefinierte KMS-Schlüssel verwenden zu können, die sich in einem anderen Konto befinden, müssen Sie über die entsprechenden Berechtigungen verfügen. Sie müssen außerdem den Stream mithilfe der `CreateStream`-API erstellen. Sie können keine KMS-Schlüssel von verschiedenen Konten in Streams verwenden, die in der Konsole erstellt wurden.
**Anmerkung**
Auf den KMS-Schlüssel wird erst zugegriffen, wenn der `GetMedia` Vorgang `PutMedia` oder ausgeführt wurde. Dies führt zu folgendem Ergebnis:
Wenn der von Ihnen angegebene Schlüssel nicht existiert, ist der `CreateStream` Vorgang erfolgreich, aber `PutMedia` die `GetMedia` Operationen im Stream schlagen fehl.
Wenn Sie den bereitgestellten Schlüssel (`aws/kinesisvideo`) verwenden, ist der Schlüssel erst in Ihrem Konto vorhanden, wenn der erste `PutMedia` `GetMedia` OR-Vorgang ausgeführt wird.
## Berechtigungen zur Verwendung eines vom Kunden verwalteten Schlüssels
Bevor Sie serverseitige Verschlüsselung mit einem vom Kunden verwalteten Schlüssel verwenden können, müssen Sie KMS-Schlüsselrichtlinien konfigurieren, um die Verschlüsselung von Streams sowie die Verschlüsselung und Entschlüsselung von Stream-Datensätzen zu ermöglichen. Beispiele und weitere Informationen zu AWS KMS Berechtigungen finden Sie unter [AWS KMS API-Berechtigungen: Referenz zu Aktionen und Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html).
**Anmerkung**
Die Verwendung des Standard-Serviceschlüssels für die Verschlüsselung erfordert keine Anwendung benutzerdefinierter IAM-Berechtigungen.
Bevor Sie einen vom Kunden verwalteten Schlüssel verwenden, stellen Sie sicher, dass Ihre Kinesis-Videostream-Produzenten und -Verbraucher (IAM-Principals) Benutzer gemäß der AWS KMS Standardschlüsselrichtlinie sind. Andernfalls schlägt das Schreiben in und das Lesen aus dem Stream fehl. Dies kann zu einem Datenverlust, einer verspäteten Verarbeitung oder abgestürzten Anwendungen führen. Sie können Berechtigungen für KMS-Schlüssel mit IAM-Richtlinien verwalten. Weitere Informationen finden Sie unter [Verwenden von IAM-Richtlinien mit](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html). AWS KMS
### Beispiel für Produzentenberechtigungen
Ihre Kinesis-Videostream-Produzenten müssen über die folgenden `kms:GenerateDataKey` Berechtigungen verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:PutMedia"
],
"Resource": "arn:aws:kinesisvideo:*:123456789012:stream/MyStream/*"
}
]
}
```
------
### Beispiel für Benutzerberechtigungen
Ihre Kinesis-Videostream-Nutzer müssen über die folgenden `kms:Decrypt` Berechtigungen verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetMedia"
],
"Resource": "arn:aws:kinesisvideo:*:123456789012:stream/MyStream/*"
}
]
}
```
------