Verschlüsseln von Aurora Aurora-Ressourcen - Amazon Aurora
Übersicht über die Verschlüsselung von Amazon Aurora-RessourcenVerschlüsseln eines Amazon-Aurora-DB-ClustersBestimmen, ob die Verschlüsselung für einen DB-Cluster aktiviert istVerfügbarkeit der Aurora Aurora-VerschlüsselungVerschlüsselung während der ÜbertragungEinschränkungen von Aurora Aurora-verschlüsselten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Aurora Aurora-Ressourcen

Aurora kann Ihre Amazon Aurora verschlüsseln. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz von DB-Clustern sowie deren automatisierte Backups, Lesereplikate und Snapshots.

Verschlüsselte verwenden den Industriestandard-Verschlüsselungsalgorithmus AES -256, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre hostet. Nachdem Ihre Daten verschlüsselt wurden, verarbeitet Amazon Aurora die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden.

Anmerkung

Bei verschlüsselten und unverschlüsselten werden Daten, die zwischen der Quelle und den gelesenen Repliken übertragen werden, verschlüsselt, auch wenn sie regionsübergreifend repliziert werden. AWS

Übersicht über die Verschlüsselung von Amazon Aurora-Ressourcen

Amazon Aurora-verschlüsselte DB-Cluster bieten zusätzlichen Datenschutz, indem Sie Ihre Daten vor unautorisiertem Zugriff auf den zugehörigen Speicherplatz sichern. Sie können die Amazon Aurora-Verschlüsselung verwenden, um den Datenschutz für Ihre in der Cloud bereitgestellten Anwendungen zu erhöhen und die Compliance-Anforderungen bei der Verschlüsselung von Daten im Ruhezustand zu erfüllen.

Bei einem mit Amazon Aurora verschlüsselten DB-Cluster werden alle DB-Instances, Protokolle, Backups und Snapshots verschlüsselt. Lesereplikate von Amazon-Aurora-verschlüsselten Clustern können ebenfalls verschlüsselt werden. Amazon Aurora verwendet einen AWS Key Management Service Schlüssel, um diese Ressourcen zu verschlüsseln. Weitere Informationen zu KMS Schlüsseln finden Sie AWS KMS keysim AWS Key Management Service Entwicklerhandbuch undAWS KMS key Verwaltung. Jede DB-Instance im DB-Cluster wird mit demselben KMS Schlüssel wie der DB-Cluster verschlüsselt. Wenn Sie einen verschlüsselten Snapshot kopieren, können Sie einen anderen KMS Schlüssel zum Verschlüsseln des Ziel-Snapshots verwenden als den, der zum Verschlüsseln des Quell-Snapshots verwendet wurde.

Sie können einen Von AWS verwalteter Schlüssel verwenden oder vom Kunden verwaltete Schlüssel erstellen. Zur Verwaltung der vom Kunden verwalteten Schlüssel, die für die Ver- und Entschlüsselung Ihrer Amazon Aurora-Ressourcen verwendet werden, verwenden Sie die AWS Key Management Service (AWS KMS). AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Mit AWS KMS dieser können Sie vom Kunden verwaltete Schlüssel erstellen und die Richtlinien definieren, die steuern, wie diese vom Kunden verwalteten Schlüssel verwendet werden können. AWS KMS unterstützt CloudTrail, sodass Sie die Verwendung von KMS Schlüsseln überprüfen können, um sicherzustellen, dass vom Kunden verwaltete Schlüssel ordnungsgemäß verwendet werden. Sie können Ihre vom Kunden verwalteten Schlüssel mit Amazon Aurora und unterstützten AWS Diensten wie Amazon S3EBS, Amazon und Amazon Redshift verwenden. Eine Liste der Dienste, die integriert sind AWS KMS, finden Sie unter AWS Serviceintegration.

Verschlüsseln eines Amazon-Aurora-DB-Clusters

Wählen Sie Enable encryption (Verschlüsselung aktivieren) in der Konsole aus, um einen neuen DB-Cluster zu verschlüsseln. Weitere Informationen zum Erstellen eines DB-Clusters finden Sie unter Erstellen eines Amazon Aurora-DB Clusters.

Wenn Sie den create-db-cluster AWS CLI Befehl verwenden, um einen verschlüsselten DB-Cluster zu erstellen, legen Sie den --storage-encrypted Parameter fest. Wenn Sie die reateDBClusterAPIC-Operation verwenden, setzen Sie den StorageEncrypted Parameter auf true.

Wenn Sie einen verschlüsselten DB-Cluster erstellen, können Sie einen vom Kunden verwalteten Schlüssel oder den Schlüssel wählen, mit dem Von AWS verwalteter Schlüssel Amazon Aurora Ihren DB-Cluster verschlüsseln kann. Wenn Sie den Schlüsselbezeichner für einen vom Kunden verwalteten Schlüssel nicht angeben, verwendet Amazon Aurora die Von AWS verwalteter Schlüssel für Ihren neuen DB-Cluster. Amazon Aurora erstellt eine Von AWS verwalteter Schlüssel für Amazon Aurora für Ihr AWS Konto. Ihr AWS Konto hat Von AWS verwalteter Schlüssel für Amazon Aurora für jede AWS Region ein anderes.

Weitere Informationen zu KMS Schlüsseln finden Sie AWS KMS keysim AWS Key Management Service Entwicklerhandbuch.

Sobald Sie einen verschlüsselten DB-Cluster erstellt haben, können Sie den von diesem DB-Cluster verwendeten KMS Schlüssel nicht mehr ändern. Stellen Sie daher sicher, dass Sie Ihre KMS Schlüsselanforderungen ermitteln, bevor Sie Ihren verschlüsselten DB-Cluster erstellen.

Wenn Sie den AWS CLI create-db-cluster Befehl verwenden, um einen verschlüsselten DB-Cluster mit einem vom Kunden verwalteten Schlüssel zu erstellen, setzen Sie den --kms-key-id Parameter auf eine beliebige Schlüssel-ID für den KMS Schlüssel. Wenn Sie die RDS API CreateDBInstance Amazon-Operation verwenden, setzen Sie den KmsKeyId Parameter auf eine beliebige Schlüssel-ID für den KMS Schlüssel. Um einen vom Kunden verwalteten Schlüssel in einem anderen AWS Konto zu verwenden, geben Sie den Schlüssel ARN oder den Alias anARN.

Wichtig

Amazon Aurora kann den Zugriff auf den KMS Schlüssel für einen DB-Cluster verlieren, wenn Sie den KMS Schlüssel deaktivieren. In diesen Fällen geht der verschlüsselte DB-Cluster in Kürze in den inaccessible-encryption-credentials-recoverable Status über. Der DB-Cluster verbleibt sieben Tage in diesem Zustand. Während dieser Zeit wird die Instance gestoppt. APIAufrufe, die während dieser Zeit an den DB-Cluster getätigt wurden, sind möglicherweise nicht erfolgreich. Um den DB-Cluster wiederherzustellen, aktivieren Sie den KMS Schlüssel und starten Sie diesen DB-Cluster neu. Aktivieren Sie den KMS Schlüssel aus dem AWS Management Console. Starten Sie den DB-Cluster mit dem AWS CLI Befehl start-db-clusteroder neu AWS Management Console.

Wenn der DB-Cluster nicht innerhalb von sieben Tagen wiederhergestellt wird, wechselt er in den inaccessible-encryption-credentials Terminalstatus. In diesem Zustand ist der DB-Cluster nicht mehr nutzbar und Sie können den DB-Cluster nur aus einem Backup wiederherstellen. Wir empfehlen dringend, dass Sie immer Backups für verschlüsselte DB-Cluster aktivieren, um den Verlust verschlüsselter Daten in Ihren Datenbanken zu verhindern.

Während der Erstellung eines DB-Clusters prüft Aurora, ob der aufrufende Principal Zugriff auf den KMS Schlüssel hat, und generiert aus dem KMS Schlüssel einen Grant, den es für die gesamte Lebensdauer des DB-Clusters verwendet. Das Widerrufen des Zugriffs der aufrufenden Prinzipale auf den KMS Schlüssel hat keine Auswirkungen auf eine laufende Datenbank. Wenn KMS Schlüssel in kontoübergreifenden Szenarien verwendet werden, z. B. beim Kopieren eines Snapshots in ein anderes Konto, muss der KMS Schlüssel mit dem anderen Konto geteilt werden. Wenn Sie aus dem Snapshot einen DB-Cluster erstellen, ohne einen anderen KMS Schlüssel anzugeben, verwendet der neue Cluster den KMS Schlüssel aus dem Quellkonto. Das Widerrufen des Zugriffs auf den Schlüssel nach der Erstellung des DB-Clusters hat keine Auswirkungen auf den Cluster. Die Deaktivierung des Schlüssels wirkt sich jedoch auf alle mit diesem Schlüssel verschlüsselten DB-Cluster aus. Um dies zu verhindern, geben Sie während des Snapshot-Kopiervorgangs einen anderen Schlüssel an.

Bestimmen, ob die Verschlüsselung für einen DB-Cluster aktiviert ist

Sie können den AWS Management Console, oder verwenden AWS CLI, RDS API um festzustellen, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist.

So ermitteln Sie, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Datenbanken aus.

  3. Wählen Sie den Namen des DB-Clusters aus, den Sie überprüfen möchten, um dessen Details anzuzeigen.

  4. Wählen Sie die Registerkarte Konfiguration aus und überprüfen Sie den Wert für die Verschlüsselung.

    Es zeigt entweder Aktiviert oder Nicht aktiviert.

    Überprüfen der ruhenden Verschlüsselung für einen DB-Cluster

Rufen Sie den describe-db-clustersBefehl mit der folgenden Option auf, um zu ermitteln AWS CLI, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist:

  • --db-cluster-identifier – der Name des DB-Clusters.

Im folgenden Beispiel wird eine Abfrage verwendet, um entweder TRUE oder FALSE bezüglich der Verschlüsselung im Ruhezustand für den mydb DB-Cluster zurückzugeben.

Beispiel 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Um mithilfe von Amazon zu ermitteln, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist RDSAPI, rufen Sie den escribeDBClustersD-Vorgang mit dem folgenden Parameter auf:

  • DBClusterIdentifier – der Name des DB-Clusters.

Verfügbarkeit der Aurora Aurora-Verschlüsselung

Die Amazon Aurora Aurora-Verschlüsselung ist derzeit für alle Datenbank-Engines und Speichertypen verfügbar.

Anmerkung

Die Amazon Aurora-Verschlüsselung ist für die DB-Instance-Klasse db.t2.micro nicht verfügbar.

Verschlüsselung während der Übertragung

AWS bietet sichere und private Konnektivität zwischen DB-Instances aller Typen. Darüber hinaus verwenden einige Instance-Typen die Offload-Funktionen der zugrunde liegenden Nitro-System-Hardware, um den Datenverkehr während der Übertragung zwischen Instances automatisch zu verschlüsseln. Diese Verschlüsselung verwendet Authenticated Encryption with Associated Data (AEAD) -Algorithmen mit 256-Bit-Verschlüsselung. Es gibt keine Auswirkungen auf die Netzwerkleistung. Um diese zusätzliche Verschlüsselung des Datenverkehrs während der Übertragung zwischen Instances zu unterstützen, müssen die folgenden Anforderungen erfüllt sein:

  • Die Instances verwenden die folgenden Instance-Typen:

    • Allgemeiner Zweck: M6i, M6id, M6in, M6idn, M7g

    • Speicheroptimiert: R6i, R6id, R6in, R6idn, R7G, X2idn, X2iEDN, X2IEZn

  • Die Instanzen AWS-Region befinden sich in derselben.

  • Die Instanzen befinden sich im selben Netzwerk VPC oder werden miteinander verbundenVPCs, und der Datenverkehr wird nicht über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst, wie z. B. einen Load Balancer oder ein Transit-Gateway, geleitet.

Einschränkungen von Aurora Aurora-verschlüsselten

Für Aurora Aurora-verschlüsselte gelten die folgenden Einschränkungen:

  • Sie können die Verschlüsselung für einen verschlüsselten DB-Cluster nicht deaktivieren.

  • Sie können keinen verschlüsselten Snapshot einer/eines unverschlüsselten DB-Clusters erstellen.

  • Ein Snapshot eines verschlüsselten muss mit demselben KMS Schlüssel wie der verschlüsselt werden.

  • Unverschlüsselte DB-Cluster können nicht in verschlüsselte umgewandelt werden. Sie können jedoch einen unverschlüsselten Snapshot in einen verschlüsselten Aurora-DB-Cluster wiederherstellen. Geben Sie dazu bei der Wiederherstellung aus dem KMS unverschlüsselten Snapshot einen Schlüssel an.

  • Sie können keine verschlüsselte Aurora-Replica aus einem unverschlüsselten Aurora-DB-Cluster erstellen. Sie können keine unverschlüsselte Aurora-Replica aus einem verschlüsselten Aurora-DB-Cluster erstellen.

  • Um einen verschlüsselten Snapshot von einer AWS Region in eine andere zu kopieren, müssen Sie den KMS Schlüssel in der AWS Zielregion angeben. Das liegt daran, dass KMS Schlüssel für die AWS Region spezifisch sind, in der sie erstellt wurden.

    Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Aurora verwendet Umschlagverschlüsselung, um Daten während des Kopiervorgangs zu schützen. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service -Entwicklerhandbuch.

  • Sie können eine(n) verschlüsselte(n) DB-Cluster nicht entschlüsseln. Sie können jedoch Daten aus einer/einem verschlüsselten DB-Cluster exportieren und die Daten in eine(n) unverschlüsselte(n) DB-Cluster importieren.