AWS KMS key-Verwaltung - Amazon Relational Database Service
Autorisieren der Verwendung eines kundenverwalteten SchlüsselsAmazon-RDS-Verschlüsselungskontext

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS key-Verwaltung

Amazon RDS wird automatisch zur Schlüsselverwaltung in AWS Key Management Service (AWS KMS) integriert. Amazon RDS verwendet eine Envelope-Verschlüsselung. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service-Entwicklerhandbuch.

Sie können zwei Arten von AWS KMS-Schlüsseln verwenden, um Ihre DB-Instances zu verschlüsseln.

  • Wenn Sie die volle Kontrolle über einen KMS-Schlüssel haben möchten, müssen Sie einen vom Kunden verwalteten Schlüssel erstellen. Weitere Informationen über kundenverwaltete Schlüssel finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Developer Guide.

    Sie können einen Snapshot der verschlüsselt wurde, nicht mit dem Von AWS verwalteter Schlüssel der AWS Konten freigeben, die den Schnappschuss freigegeben haben.

  • Von AWS verwaltete Schlüssel sind KMS-Schlüssel in Ihrem Konto, die in Ihrem Namen von einem AWS Dienst erstellt, verwaltet und verwendet werden, der mit AWS KMS. Standardmäßig wird der RDS-Von AWS verwalteter Schlüssel (aws/rds) für die Verschlüsselung verwendet. Sie können den RDS-Von AWS verwalteter Schlüssel nicht verwalten, rotieren oder löschen. Weitere Informationen zu Von AWS verwaltete Schlüssel finden Sie unter Von AWS verwaltete Schlüssel im AWS Key Management Service-Entwickler-Leitfaden.

Zur Verwaltung von KMS-Schlüsseln für verschlüsselte Amazon-RDS--DB-Instances verwenden Sie den AWS Key Management Service (AWS KMS) in der AWS KMS-Konsole, die AWS CLI- oder die AWS KMS-API. Verwenden Sie zur Anzeige von Audit-Protokollen für jede Aktion, die mit einem AWS-verwalteten oder kundenverwalteten Schlüssel durchgeführt wurde AWS CloudTrail. Weitere Informationen zum Rotieren der Schlüssel finden Sie unter Rotieren von AWS KMS-Schlüsseln.

Wichtig

Wenn Sie Berechtigungen für einen KMS-Schlüssel deaktivieren oder widerrufen, der von einer RDS-Datenbank verwendet wird, versetzt RDS Ihre Datenbank in einen Terminalstatus, wenn Zugriff auf den KMS-Schlüssel erforderlich ist. Diese Änderung kann je nach Anwendungsfall, der Zugriff auf den KMS-Schlüssel erforderte, sofort oder verschoben werden. In diesem Fall ist die Instance nicht länger verfügbar und der aktuelle Zustand der Datenbank kann nicht mehr wiederhergestellt werden. Um die DB-Instance wiederherzustellen, müssen Sie den Zugriff auf den KMS-Schlüssel für RDS erneut aktivieren und die DB-Instance anschließend aus dem letzten Backup wiederherstellen.

Autorisieren der Verwendung eines kundenverwalteten Schlüssels

Wenn RDS einen vom Kunden verwalteten Schlüssel für kryptografische Operationen verwendet, handelt es im Namen des Benutzers, der die RDS-Ressource erstellt oder ändert.

Wenn Sie eine RDS-Ressource mit einem vom Kunden verwalteten Schlüssel erstellen möchten, müssen Sie die Berechtigung haben, die folgenden Operationen für den vom Kunden verwalteten Schlüssel aufzurufen:

  • kms:CreateGrant

  • kms:DescribeKey

Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt.

Sie können die IAM-Richtlinie auf verschiedene Weise strikter gestalten. Um beispielsweise zu erlauben, dass der vom Kunden verwaltete Schlüssel nur für Anfragen verwendet wird, die von RDS ausgehen, können Sie den kms:ViaService-Bedingungsschlüssel mit dem Wert rds.<region>.amazonaws.com verwenden. Sie können auch die Schlüssel oder Werte im Amazon-RDS-Verschlüsselungskontext als Bedingung für die Verwendung des vom Kunden verwalteten Schlüssels für die Verschlüsselung verwenden.

Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service-Entwicklerhandbuch und unter Schlüsselrichtlinien in AWS KMS.

Amazon-RDS-Verschlüsselungskontext

Wenn RDS Ihren KMS-Schlüssel verwendet oder Amazon EBS den KMS-Schlüssel im Auftrag von RDS verwendet, gibt der Service einen Verschlüsselungskontext an. Der Verschlüsselungskontext enthält zusätzliche authentifizierte Daten (AAD), anhand derer AWS KMS die Datenintegrität sicherstellt. Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, muss der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation angeben. Andernfalls schlägt die Entschlüsselung fehl. Der Verschlüsselungskontext wird zudem in Ihre AWS CloudTrail-Protokolle geschrieben, sodass Sie jederzeit nachvollziehen können, warum ein bestimmter KMS-Schlüssel verwendet wurde. Ihre CloudTrail-Protokolle können sehr viele Einträge zur Verwendung eines KMS-Schlüssels enthalten. Der Verschlüsselungskontext in den einzelnen Protokolleinträgen kann Ihnen jedoch helfen, herauszufinden, warum der KMS-Schlüssel zu einem gegebenen Zeitpunkt verwendet wurde.

Amazon RDS gibt als Verschlüsselungskontext immer mindestens die ID der DB-Instance an, wie im folgenden JSON-Beispiel illustriert:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Anhand dieses Verschlüsselungskontexts können Sie herausfinden, für welche DB-Instance der KMS-Schlüssel verwendet wurde.

Wird Ihr KMS-Schlüssel für eine bestimmte DB-Instance und ein bestimmtes Amazon-EBS-Volume verwendet, werden sowohl die ID der DB-Instance als auch die ID des EBS-Volumes als Verschlüsselungskontext angegeben, wie im folgenden JSON-Beispiel zu sehen:

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}