Verschlüsseln von Amazon Aurora-Ressourcen - Amazon Aurora
Übersicht über die Verschlüsselung von Amazon Aurora-RessourcenVerschlüsseln eines Amazon-Aurora-DB-ClustersBestimmen, ob die Verschlüsselung für einen DB-Cluster aktiviert istVerfügbarkeit der Amazon Aurora-VerschlüsselungVerschlüsselung während der ÜbertragungEinschränkungen von Amazon Aurora-verschlüsselten DB-Clustern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Amazon Aurora-Ressourcen

Amazon Aurora kann Ihre Amazon Aurora-DB-Cluster verschlüsseln. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz von DB-Clustern sowie deren automatisierte Backups, Lesereplikate und Snapshots.

Amazon Aurora-verschlüsselte DB-Cluster verwenden den standardmäßig in der Branche verwendeten AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre Amazon Aurora-DB-Cluster hostet. Sobald Sie die Daten verschlüsselt haben, übernimmt Amazon Aurora die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten auf transparente Art und Weise und mit minimaler Auswirkung auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden.

Anmerkung

Bei verschlüsselten und unverschlüsselten DB--Clustern werden Daten zwischen der Quelle und den Lesereplikaten verschlüsselt, auch wenn die Replikation AWS-regionsübergreifend erfolgt.

Übersicht über die Verschlüsselung von Amazon Aurora-Ressourcen

Amazon Aurora-verschlüsselte DB-Cluster bieten zusätzlichen Datenschutz, indem Sie Ihre Daten vor unautorisiertem Zugriff auf den zugehörigen Speicherplatz sichern. Sie können die Amazon Aurora-Verschlüsselung verwenden, um den Datenschutz für Ihre in der Cloud bereitgestellten Anwendungen zu erhöhen und die Compliance-Anforderungen bei der Verschlüsselung von Daten im Ruhezustand zu erfüllen. Bei einem mit Amazon Aurora verschlüsselten DB-Cluster werden alle DB-Instances, Protokolle, Backups und Snapshots verschlüsselt. Weitere Informationen zur Verfügbarkeit und zu den Einschränkungen der Verschlüsselung finden Sie unter Verfügbarkeit der Amazon Aurora-Verschlüsselung undEinschränkungen von Amazon Aurora-verschlüsselten DB-Clustern.

Amazon Aurora verwendet einen AWS Key Management Service-Schlüssel für die Verschlüsselung dieser Ressourcen. AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist. Sie können eine Von AWS verwalteter Schlüssel verwenden, oder Sie können kundenverwaltete Schlüssel erstellen.

Wenn Sie einen verschlüsselten DB-Cluster erstellen, können Sie einen vom Kunden verwalteten Schlüssel oder den Von AWS verwalteter Schlüssel für Amazon Aurora zur Verschlüsselung Ihres DB-Clusters wählen. Wenn Sie den Schlüsselbezeichner für einen vom Kunden verwalteten Schlüssel nicht angeben, verwendet Amazon Aurora die Von AWS verwalteter Schlüssel für Ihren neuen DB-Cluster. Amazon Aurora erstellt eine Von AWS verwalteter Schlüssel für Amazon Aurora für Ihr AWS Konto. Ihr AWS Konto hat eine andere Von AWS verwalteter Schlüssel für Amazon Aurora für jede AWS Region.

Zur Verwaltung der vom Kunden verwalteten Schlüssel, die zum Ver- und Entschlüsseln Ihrer Amazon-Aurora-Ressourcen dienen, verwenden Sie die AWS Key Management Service (AWS KMS).

Mit AWS KMS können Sie vom Kunden verwaltete Schlüssel erstellen und die Richtlinien definieren, um die diese vom Kunden verwalteten Schlüssel zu steuern. AWS KMS unterstützt CloudTrail, sodass Sie die Verwendung von KMS-Schlüsseln überprüfen können, um sicherzustellen, dass die vom Kunden verwalteten Schlüssel ordnungsgemäß verwendet werden. Sie können Ihre vom Kunden verwalteten Schlüssel mit Amazon Aurora und unterstützten AWS Services wie Amazon S3, Amazon EBS und Amazon Redshift verwenden. Eine Liste der Services, die in AWS KMS integriert sind, finden Sie unter AWS-Service-Integration. Einige Überlegungen zur Verwendung von KMS-Schlüsseln:

  • Sobald Sie eine verschlüsselte DB-Instance erstellt haben, können Sie den von dieser DB-Instance verwendeten KMS-Schlüssel nicht mehr ändern. Stellen Sie daher sicher, dass Sie Ihre KMS-Schlüsselanforderungen bestimmen, bevor Sie Ihre verschlüsselte DB-Instance erstellen.

    Wenn Sie den Verschlüsselungsschlüssel für Ihren DB-Cluster ändern müssen, erstellen Sie einen manuellen Snapshot Ihres Clusters und aktivieren Sie die Verschlüsselung beim Kopieren des Snapshots. Weitere Informationen finden Sie im re:Post-Knowledge-Artikel.

  • Wenn Sie einen verschlüsselten Snapshot kopieren, können Sie zum Verschlüsseln des Ziel-Snapshots einen anderen KMS-Schlüssel verwenden als den, der zum Verschlüsseln des Quell-Snapshots verwendet wurde.

  • Sie können einen Snapshot der verschlüsselt wurde, nicht mit dem Von AWS verwalteter Schlüssel der AWS Konten freigeben, die den Schnappschuss freigegeben haben.

  • Jede DB-Instance im DB-Cluster wird mit demselben KMS-Schlüssel wie der DB-Cluster verschlüsselt.

  • Lesereplikate von Amazon-Aurora-verschlüsselten Clustern können ebenfalls verschlüsselt werden.

Wichtig

Amazon Aurora kann den Zugriff auf den KMS-Schlüssel für einen DB-Cluster verlieren, wenn Sie den KMS-Schlüssel deaktivieren. In diesen Fällen geht der verschlüsselte DB-Cluster in den inaccessible-encryption-credentials-recoverable-Zustand. Der DB-Cluster behält diesen Status sieben Tage lang bei, währenddessen die Instance angehalten wird. API-Aufrufe, die während dieser Zeit an den DB-Cluster getätigt wurden, sind möglicherweise nicht erfolgreich. Um den DB-Cluster wiederherzustellen, aktivieren Sie den KMS-Schlüssel und starten Sie diesen DB-Cluster neu. Aktivieren Sie den KMS-Schlüssel über die AWS Management Console, AWS CLI oder RDS-API. Starten Sie den DB-Cluster mit dem AWS CLI-Befehl start-db-cluster oder AWS Management Console neu.

Der Status inaccessible-encryption-credentials-recoverable gilt nur für DB-Cluster, die angehalten werden können. Dieser wiederherstellbare Status gilt nicht für Instances, die nicht angehalten werden können, wie Cluster mit regionsübergreifenden Lesereplikaten. Weitere Informationen finden Sie unter Einschränkungen für das Stoppen und Starten eines Aurora-DB-Clusters.

Wenn der DB-Cluster nicht innerhalb von sieben Tagen wiederhergestellt wird, wechselt er in den Terminalstatus inaccessible-encryption-credentials. In diesem Status ist der DB-Cluster nicht mehr nutzbar und kann nur über eine Sicherung wiederhergestellt werden. Wir empfehlen dringend, für verschlüsselte DB-Cluster immer Sicherungen zu aktivieren, um sich vor dem Verlust verschlüsselter Daten in Ihren Datenbanken zu schützen.

Bei der Erstellung eines DB-Clusters überprüft Aurora, ob der aufrufende Prinzipal Zugriff auf den KMS-Schlüssel hat, und generiert aus dem KMS-Schlüssel eine Berechtigung, die für die gesamte Lebensdauer des DB-Clusters verwendet wird. Das Widerrufen des Zugriffs des aufrufenden Prinzipals auf den KMS-Schlüssel hat keine Auswirkungen auf eine laufende Datenbank. Wenn KMS-Schlüssel in kontoübergreifenden Szenarien verwendet werden, z. B. beim Kopieren eines Snapshots in ein anderes Konto, muss der KMS-Schlüssel für das andere Konto freigegeben werden. Wenn Sie aus dem Snapshot einen DB-Cluster erstellen, ohne einen anderen KMS-Schlüssel anzugeben, verwendet der neue Cluster den KMS-Schlüssel aus dem Quellkonto. Das Widerrufen des Zugriffs auf den Schlüssel nach dem Erstellen des DB-Clusters hat keine Auswirkungen auf den Cluster. Die Deaktivierung des Schlüssels wirkt sich jedoch auf alle DB-Cluster aus, die mit diesem Schlüssel verschlüsselt wurden. Um dies zu verhindern, geben Sie während des Snapshot-Kopiervorgangs einen anderen Schlüssel an.

Weitere Informationen über KMS-Schlüssel finden Sie unter AWS KMS keys im Entwicklerhandbuch zu AWS Key Management Service und in AWS KMS key-Verwaltung.

Verschlüsseln eines Amazon-Aurora-DB-Clusters

Wählen Sie Enable encryption (Verschlüsselung aktivieren) in der Konsole aus, um einen neuen DB-Cluster zu verschlüsseln. Weitere Informationen zum Erstellen eines DB-Clusters finden Sie unter Erstellen eines Amazon Aurora-DB Clusters.

Wenn Sie den AWS CLI-Befehl create-db-cluster verwenden, um einen verschlüsselten DB-Cluster zu erstellen, legen Sie den Parameter --storage-encrypted fest. Wenn Sie die API-Operation CreateDBCluster verwenden, legen Sie den Parameter StorageEncrypted auf „true“ fest.

Sobald Sie einen verschlüsselten DB-Cluster erstellt haben, können Sie den von diesem DB-Cluster verwendeten KMS-Schlüssel nicht mehr ändern. Stellen Sie daher sicher, dass Sie Ihre KMS-Schlüsselanforderungen bestimmen, bevor Sie Ihren verschlüsselten DB-Cluster erstellen.

Wenn Sie den Befehl AWS CLI create-db-cluster verwenden, um einen verschlüsselten DB-Cluster mit einem vom Kunden verwalteten Schlüssel zu erstellen, setzen Sie den Parameter --kms-key-id auf einen beliebigen Schlüsselbezeichner für den KMS-Schlüssel. Wenn Sie den Vorgang Amazon RDS API CreateDBInstance verwenden, setzen Sie den Parameter KmsKeyId auf einen beliebigen Schlüsselbezeichner für den KMS-Schlüssel. Um einen vom Kunden verwalteten Schlüssel in einem anderen AWS-Konto zu verwenden, geben Sie die Schlüssel-ARN oder Alias-ARN an.

Bestimmen, ob die Verschlüsselung für einen DB-Cluster aktiviert ist

Sie können die AWS Management Console, AWS CLI, oder RDS-API verwenden, um zu bestimmen, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist.

So ermitteln Sie, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Databases (Datenbanken) aus.

  3. Wählen Sie den Namen des DB-Clusters aus, den Sie überprüfen möchten, um dessen Details anzuzeigen.

  4. Wählen Sie die Registerkarte Konfiguration aus und überprüfen Sie den Wert für die Verschlüsselung.

    Es zeigt entweder Aktiviert oder Nicht aktiviert.

    Überprüfen der ruhenden Verschlüsselung für einen DB-Cluster

Um festzustellen, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster mithilfe von AWS CLI aktiviert ist, rufen Sie den Befehl describe-db-clusters mit der folgenden Option auf:

  • --db-cluster-identifier – der Name des DB-Clusters.

Im folgenden Beispiel wird eine Abfrage verwendet, um entweder TRUE oder FALSE bezüglich der Verschlüsselung im Ruhezustand für den mydb DB-Cluster zurückzugeben.

Beispiel 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Um zu ermitteln, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster mithilfe der Amazon-RDS-API aktiviert ist, rufen Sie die Operation DescribeDBClusters mit dem folgenden Parameter auf:

  • DBClusterIdentifier – der Name des DB-Clusters.

Verfügbarkeit der Amazon Aurora-Verschlüsselung

Die Amazon Aurora-Verschlüsselung ist aktuell für alle Datenbank-Engines und Speichertypen verfügbar.

Anmerkung

Die Amazon Aurora-Verschlüsselung ist für die DB-Instance-Klasse db.t2.micro nicht verfügbar.

Verschlüsselung während der Übertragung

Verschlüsselung auf physischer Ebene

Alle Daten, die über AWS-Regionen-Regionen über das globale AWS-Netzwerk übertragen werden, werden automatisch auf der physischen Ebene verschlüsselt, bevor sie gesicherte AWS-Einrichtungen verlassen. Der gesamte Datenverkehr zwischen AZs ist verschlüsselt. Zusätzliche Verschlüsselungsebenen, einschließlich der in diesem Abschnitt aufgeführten, bieten möglicherweise zusätzlichen Schutz.

Verschlüsselung bereitgestellt durch Amazon-VPC-Peering und regionsübergreifendem Peering in Transit Gateway

Der gesamte regionsübergreifende Datenverkehr, der Amazon-VPC- und Transit-Gateway-Peering verwendet, wird automatisch massenverschlüsselt, wenn er eine Region verlässt. Auf der physischen Ebene wird automatisch eine zusätzliche Verschlüsselungsebene für den gesamten Datenverkehr bereitgestellt, bevor er AWS gesicherte Einrichtungen verlässt.

Verschlüsselung zwischen den Instances

AWS bietet sichere und private Konnektivität zwischen DB-Instances aller Typen. Darüber hinaus verwenden einige Instance-Typen die Offload-Funktionen der zugrunde liegenden Nitro-System-Hardware, um den Datenverkehr während der Übertragung zwischen Instances automatisch zu verschlüsseln. Diese Verschlüsselung verwendet AEAD-Algorithmen (Authenticated Encryption with Associated Data) mit 256-Bit-Verschlüsselung. Es gibt keine Auswirkungen auf die Netzwerkleistung. Um diese zusätzliche Verschlüsselung des Datenverkehrs während der Übertragung zwischen Instances zu unterstützen, müssen die folgenden Anforderungen erfüllt sein:

  • Die Instances verwenden die folgenden Instance-Typen:

    • Allgemeiner Zweck: M6i, M6id, M6in, M6idn, M7g

    • Speicheroptimiert: R6i, R6id, R6in, R6idn, R7g, X2idn, X2iedn, X2iezn

  • Die Instances befinden sich in derselben AWS-Region.

  • Die Instances befinden sich in derselben VPC oder in per Peering verbundenen VPCs und der Datenverkehr wird nicht durch ein virtuelles Netzwerkgerät, z. B. einen Load Balancer oder ein Transit Gateway, geleitet.

Einschränkungen von Amazon Aurora-verschlüsselten DB-Clustern

Folgende Einschränkungen bestehen für Amazon Aurora-verschlüsselte DB-Cluster:

  • Sie können die Verschlüsselung für einen verschlüsselten DB-Cluster nicht deaktivieren.

  • Sie können keinen verschlüsselten Snapshot einer/eines unverschlüsselten DB-Clusters erstellen.

  • Ein Snapshot eines verschlüsselten DB-clusters muss mit demselben KMS-Schlüssel verschlüsselt werden wie der DB-cluster.

  • Unverschlüsselte DB-Cluster können nicht in verschlüsselte umgewandelt werden. Sie können jedoch einen unverschlüsselten Snapshot in einen verschlüsselten Aurora-DB-Cluster wiederherstellen. Geben Sie dazu bei der Wiederherstellung aus dem unverschlüsselten Snapshot einen KMS-Schlüssel an.

  • Sie können keine verschlüsselte Aurora-Replica aus einem unverschlüsselten Aurora-DB-Cluster erstellen. Sie können keine unverschlüsselte Aurora-Replica aus einem verschlüsselten Aurora-DB-Cluster erstellen.

  • Um einen verschlüsselten Snapshot von einer AWS Region in eine andere zu kopieren, müssen Sie den KMS-Schlüssel in der Zielregion AWS angeben. Dies liegt daran, dass KMS-Schlüssel spezifisch für die AWS Region sind, in der sie erstellt werden.

    Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Amazon Aurora verwendet Envelope-Verschlüsselung, um Daten während des Kopiervorgangs zu schützen. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service-Entwicklerhandbuch.

  • Sie können eine(n) verschlüsselte(n) DB-Cluster nicht entschlüsseln. Sie können jedoch Daten aus einer/einem verschlüsselten DB-Cluster exportieren und die Daten in eine(n) unverschlüsselte(n) DB-Cluster importieren.