AWS KMS key Verwaltung - Amazon Aurora
Autorisieren der Verwendung eines kundenverwalteten SchlüsselsRDSAmazon-Verschlüsselungskontext

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS key Verwaltung

Amazon Aurora integriert sich automatisch mit AWS Key Management Service (AWS KMS) für die Schlüsselverwaltung. Amazon Aurora verwendet Umschlagverschlüsselung. Weitere Informationen zur Umschlagverschlüsselung finden Sie unter Umschlagverschlüsselung im AWS Key Management Service Entwicklerhandbuch.

Sie können zwei Arten von verwenden AWS KMS Schlüssel zum Verschlüsseln Ihrer .

  • Wenn Sie die volle Kontrolle über einen KMS Schlüssel haben möchten, müssen Sie einen vom Kunden verwalteten Schlüssel erstellen. Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter Vom Kunden verwaltete Schlüssel im AWS Key Management Service Leitfaden für Entwickler.

    Sie können keinen Snapshot teilen, der mit dem verschlüsselt wurde Von AWS verwalteter Schlüssel von AWS Konto, das den Snapshot geteilt hat.

  • Von AWS verwaltete Schlüsselsind KMS Schlüssel in Ihrem Konto, die in Ihrem Namen von einem erstellt, verwaltet und verwendet werden AWS Dienst, der integriert ist in AWS KMS. Standardmäßig ist der RDS Von AWS verwalteter Schlüssel (aws/rds) wird für die Verschlüsselung verwendet. Sie können das nicht verwalten, rotieren oder löschen RDS Von AWS verwalteter Schlüssel. Für weitere Informationen über Von AWS verwaltete Schlüssel, siehe Von AWS verwaltete Schlüssel in der AWS Key Management Service Leitfaden für Entwickler.

Um KMS Schlüssel zu verwalten, die für Aurora Aurora-verschlüsselte verwendet werden, verwenden Sie den AWS Key Management Service (AWS KMS) in der AWS KMS Konsole, die AWS CLI, oder das AWS KMS API. Um Auditprotokolle aller Aktionen einzusehen, die mit einem AWS Verwenden Sie den verwalteten oder vom Kunden verwalteten Schlüssel AWS CloudTrail. Weitere Informationen zur Schlüsselrotation finden Sie unter Rotieren AWS KMS Schlüssel.

Autorisieren der Verwendung eines kundenverwalteten Schlüssels

Wenn Aurora einen vom Kunden verwalteten Schlüssel für kryptografische Operationen verwendet, handelt es im Namen des Benutzers, der die Aurora-Ressource erstellt oder ändert.

Um eine Aurora-Ressource mit einem vom Kunden verwalteten Schlüssel zu erstellen, muss ein Benutzer berechtigt sein, die folgenden Operationen mit dem vom Kunden verwalteten Schlüssel aufzurufen:

  • kms:CreateGrant

  • kms:DescribeKey

Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt.

Tipp

Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den ViaService Bedingungsschlüssel kms:, damit der Benutzer nur dann Zuschüsse für den KMS Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst.

Sie können die IAM Richtlinie auf verschiedene Weise verschärfen. Wenn Sie beispielsweise zulassen möchten, dass der vom Kunden verwaltete Schlüssel nur für Anfragen verwendet wird, die ihren Ursprung in Aurora haben, verwenden Sie den ViaService Bedingungsschlüssel kms: mit dem rds.<region>.amazonaws.com Wert. Sie können auch die Schlüssel oder Werte im RDSAmazon-Verschlüsselungskontext als Bedingung für die Verwendung des vom Kunden verwalteten Schlüssels für die Verschlüsselung verwenden.

Weitere Informationen finden Sie unter Zulassen, dass Benutzer mit anderen Konten einen KMS Schlüssel verwenden können AWS Key Management Service Entwicklerhandbuch und wichtige Richtlinien in AWS KMS.

RDSAmazon-Verschlüsselungskontext

Wenn Aurora Ihren KMS Schlüssel verwendet oder wenn Amazon den KMS Schlüssel im Namen von Aurora EBS verwendet, spezifiziert der Service einen Verschlüsselungskontext. Der Verschlüsselungskontext besteht aus zusätzlichen authentifizierten Daten (AAD) AWS KMS verwendet, um die Datenintegrität sicherzustellen. Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, muss der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation angeben. Andernfalls schlägt die Entschlüsselung fehl. Der Verschlüsselungskontext wird auch in Ihren geschrieben AWS CloudTrailProtokolle, die Ihnen helfen zu verstehen, warum ein bestimmter KMS Schlüssel verwendet wurde. Ihre CloudTrail Protokolle können viele Einträge enthalten, die die Verwendung eines KMS Schlüssels beschreiben, aber der Verschlüsselungskontext in jedem Protokolleintrag kann Ihnen helfen, den Grund für diese bestimmte Verwendung zu ermitteln.

Aurora verwendet mindestens immer die DB-Instance-ID für den Verschlüsselungskontext, wie im folgenden JSON -formatierten Beispiel:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Dieser Verschlüsselungskontext kann Ihnen helfen, die DB-Instance zu identifizieren, für die Ihr KMS Schlüssel verwendet wurde.

Wenn Ihr KMS Schlüssel für eine bestimmte DB-Instance und ein bestimmtes EBS Amazon-Volume verwendet wird, werden sowohl die DB-Instance-ID als auch die EBS Amazon-Volume-ID für den Verschlüsselungskontext verwendet, wie im folgenden JSON -formatierten Beispiel:

{
  "aws:rds:dbc-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}