Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verschlüsselung von Amazon DocumentDB DocumentDB-Daten im Ruhezustand

PDF
RSS
Fokusmodus
Verschlüsselung von Amazon DocumentDB DocumentDB-Daten im Ruhezustand - Amazon DocumentDB
Verschlüsselung im Ruhezustand aktivierenEinschränkungen für verschlüsselte Cluster

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anmerkung

AWS KMS ersetzt den Begriff Customer Master Key (CMK) durch AWS KMS keyeinen KMS-Schlüssel. Das Konzept hat sich nicht geändert. Um bahnbrechende Änderungen zu verhindern, AWS KMS werden einige Varianten dieses Begriffs beibehalten.

Sie verschlüsseln ruhende Daten in Ihrem Amazon DocumentDB-Cluster, indem Sie bei der Erstellung Ihres Clusters die Speicherverschlüsselungsoption angeben. Die Speicher-Verschlüsselung ist Cluster-weit aktiviert und wird auf alle Instances angewendet, einschließlich der primären Instance und alle Replikate. Sie wird auch auf das Speichervolumen Ihres Clusters, auf Daten, Indizes, Protokolle, automatisierte Sicherungen und Snapshots angewendet.

Amazon DocumentDB verwendet den 256-Bit-Advanced Encryption Standard (AES-256), um Ihre Daten mit den in () gespeicherten Verschlüsselungsschlüsseln zu verschlüsseln. AWS Key Management Service AWS KMS Wenn Sie einen Amazon DocumentDB-Cluster mit aktivierter Verschlüsselung im Ruhezustand verwenden, müssen Sie Ihre Anwendungslogik oder Client-Verbindung nicht ändern. Amazon DocumentDB wickelt die Verschlüsselung und Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung ab.

Amazon DocumentDB ist in eine Methode integriert, die als Umschlagverschlüsselung bekannt ist, AWS KMS und verwendet diese zum Schutz Ihrer Daten. Wenn ein Amazon DocumentDB-Cluster mit einem verschlüsselt ist AWS KMS, bittet Amazon DocumentDB, Ihren KMS-Schlüssel AWS KMS zu verwenden, um einen Chiffretext-Datenschlüssel zur Verschlüsselung des Speichervolumes zu generieren. Der Chiffretext-Datenschlüssel wird mit dem von Ihnen definierten KMS-Schlüssel verschlüsselt und zusammen mit den verschlüsselten Daten und Speichermetadaten gespeichert. Wenn Amazon DocumentDB auf Ihre verschlüsselten Daten zugreifen muss, fordert AWS KMS es die Entschlüsselung des Chiffretext-Datenschlüssels mithilfe Ihres KMS-Schlüssels an und speichert den Klartext-Datenschlüssel im Speicher, um Daten auf dem Speichervolume effizient zu verschlüsseln und zu entschlüsseln.

Die Speicherverschlüsselungsfunktion in Amazon DocumentDB ist für alle unterstützten Instance-Größen und überall dort verfügbar, AWS-Regionen wo Amazon DocumentDB verfügbar ist.

Verschlüsselung im Ruhezustand für einen Amazon DocumentDB-Cluster aktivieren

Sie können die Verschlüsselung im Ruhezustand auf einem Amazon DocumentDB-Cluster aktivieren oder deaktivieren, wenn der Cluster entweder mit dem AWS Management Console oder dem AWS Command Line Interface ()AWS CLI bereitgestellt wird. Cluster, die Sie mit der Konsole erstellen, haben standardmäßig die Verschlüsselung im Ruhezustand aktiviert. Bei Clustern, die Sie mit dem erstellen, ist AWS CLI die Verschlüsselung im Ruhezustand standardmäßig deaktiviert. Daher müssen Sie die Verschlüsselung im Ruhezustand explizit mit dem --storage-encrypted-Parameter aktivieren. In beiden Fällen können Sie nach dem Erstellen des Clusters die Option „Verschlüsselung im Ruhezustand“ nicht ändern.

Amazon DocumentDB verwendet, AWS KMS um Verschlüsselungsschlüssel abzurufen und zu verwalten und die Richtlinien zu definieren, die kontrollieren, wie diese Schlüssel verwendet werden können. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Amazon DocumentDB den standardmäßigen KMS-Schlüssel für AWS verwaltete Dienste. Amazon DocumentDB erstellt für jeden AWS-Region in Ihrem AWS-Konto einen eigenen KMS-Schlüssel. Weitere Informationen finden Sie unter AWS Key Management Service -Konzepte.

Informationen zu den ersten Schritten beim Erstellen Ihres eigenen KMS-Schlüssels finden Sie unter Erste Schritte im AWS Key Management Service Entwicklerhandbuch.

Wichtig

Sie müssen einen KMS-Schlüssel für die symmetrische Verschlüsselung verwenden, um Ihren Cluster zu verschlüsseln, da Amazon DocumentDB nur KMS-Schlüssel mit symmetrischer Verschlüsselung unterstützt. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um zu versuchen, die Daten in Ihren Amazon DocumentDB-Clustern zu verschlüsseln. Weitere Informationen finden Sie unter Asymmetrische Schlüssel AWS KMS im Entwicklerhandbuch.AWS Key Management Service

Wenn Amazon DocumentDB keinen Zugriff mehr auf den Verschlüsselungsschlüssel für einen Cluster erhält — zum Beispiel, wenn der Zugriff auf einen Schlüssel gesperrt wird — geht der verschlüsselte Cluster in einen Terminalstatus über. In diesem Fall können Sie den Cluster nur aus einer Sicherung wiederherstellen. Für Amazon DocumentDB sind Backups immer für einen Tag aktiviert.

Wenn Sie den Schlüssel für einen verschlüsselten Amazon DocumentDB-Cluster deaktivieren, verlieren Sie außerdem irgendwann den Lese- und Schreibzugriff auf diesen Cluster. Wenn Amazon DocumentDB auf einen Cluster trifft, der mit einem Schlüssel verschlüsselt ist, auf den es keinen Zugriff hat, versetzt es den Cluster in einen Terminalstatus. In diesem Fall ist der Cluster nicht länger verfügbar und der aktuelle Zustand der Datenbank kann nicht mehr wiederhergestellt werden. Um den Cluster wiederherzustellen, müssen Sie den Zugriff auf den Verschlüsselungsschlüssel für Amazon DocumentDB erneut aktivieren und dann den Cluster aus einem Backup wiederherstellen.

Wichtig

Sie können den KMS-Schlüssel für einen verschlüsselten Cluster nicht ändern, nachdem Sie ihn bereits erstellt haben. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.

Using the AWS Management Console

Geben Sie beim Erstellen eines Clusters die Option „Verschlüsselung im Ruhezustand“ an. Die Verschlüsselung im Ruhezustand ist standardmäßig aktiviert, wenn Sie einen Cluster mit der AWS Management Console erstellen. Nachdem der Cluster erstellt wurde, kann er nicht mehr geändert werden.

So legen Sie beim Erstellen eines Clusters die Option „Verschlüsselung im Ruhezustand“ fest

  1. Erstellen Sie einen Amazon DocumentDB-Cluster, wie im Abschnitt Erste Schritte beschrieben. Wählen Sie jedoch in Schritt 6 nicht Create Cluster (Cluster erstellen) aus.

  2. Wählen Sie unterhalb des Abschnitts Authentication (Authentifizierung) die Option Show advanced settings (Erweiterte Einstellungen anzeigen) aus.

  3. Scrollen Sie nach unten zum ncryption-at-rest Abschnitt E.

  4. Wählen Sie die Option aus, die Sie für die Verschlüsselung im Ruhezustand wünschen. Egal, welche Option Sie wählen, nach dem Erstellen des Clusters können Sie sie nicht mehr ändern.

    • Wenn Sie Daten im Ruhezustand in diesem Cluster verschlüsseln möchten, wählen Sie Enable encryption (Verschlüsselung aktivieren) aus.

    • Wenn Sie Daten im Ruhezustand in diesem Cluster nicht verschlüsseln möchten, wählen Sie Disable encryption (Verschlüsselung deaktivieren) aus.

  5. Wählen Sie den gewünschten Primärschlüssel aus. Amazon DocumentDB verwendet die AWS Key Management Service (AWS KMS), um Verschlüsselungsschlüssel abzurufen und zu verwalten und um die Richtlinien zu definieren, die steuern, wie diese Schlüssel verwendet werden können. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Amazon DocumentDB den standardmäßigen KMS-Schlüssel für AWS verwaltete Dienste. Weitere Informationen finden Sie unter AWS Key Management Service -Konzepte.

    Anmerkung

    Nachdem Sie einen verschlüsselten Cluster erstellt haben, können Sie den KMS-Schlüssel für diesen Cluster nicht ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.

  6. Füllen Sie die anderen Abschnitte nach Bedarf aus und erstellen Sie Ihren Cluster.

Using the AWS CLI

Um einen Amazon DocumentDB-Cluster mit dem zu verschlüsseln AWS CLI, müssen Sie die --storage-encrypted Option bei der Erstellung des Clusters angeben. Amazon DocumentDB-Cluster, die mit dem erstellt wurden, aktivieren standardmäßig AWS CLI keine Speicherverschlüsselung.

Im folgenden Beispiel wird ein Amazon DocumentDB-Cluster mit aktivierter Speicherverschlüsselung erstellt.

Für Linux, macOS oder Unix:

aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted

Für Windows:

aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted

Wenn Sie einen verschlüsselten Amazon DocumentDB-Cluster erstellen, können Sie eine AWS KMS Schlüssel-ID angeben, wie im folgenden Beispiel.

Für Linux, macOS oder Unix:

aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted \
      --kms-key-id key-arn-or-alias

Für Windows:

aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted ^
      --kms-key-id key-arn-or-alias
Anmerkung

Nachdem Sie einen verschlüsselten Cluster erstellt haben, können Sie den KMS-Schlüssel für diesen Cluster nicht ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.

anchoranchor

Geben Sie beim Erstellen eines Clusters die Option „Verschlüsselung im Ruhezustand“ an. Die Verschlüsselung im Ruhezustand ist standardmäßig aktiviert, wenn Sie einen Cluster mit der AWS Management Console erstellen. Nachdem der Cluster erstellt wurde, kann er nicht mehr geändert werden.

So legen Sie beim Erstellen eines Clusters die Option „Verschlüsselung im Ruhezustand“ fest

  1. Erstellen Sie einen Amazon DocumentDB-Cluster, wie im Abschnitt Erste Schritte beschrieben. Wählen Sie jedoch in Schritt 6 nicht Create Cluster (Cluster erstellen) aus.

  2. Wählen Sie unterhalb des Abschnitts Authentication (Authentifizierung) die Option Show advanced settings (Erweiterte Einstellungen anzeigen) aus.

  3. Scrollen Sie nach unten zum ncryption-at-rest Abschnitt E.

  4. Wählen Sie die Option aus, die Sie für die Verschlüsselung im Ruhezustand wünschen. Egal, welche Option Sie wählen, nach dem Erstellen des Clusters können Sie sie nicht mehr ändern.

    • Wenn Sie Daten im Ruhezustand in diesem Cluster verschlüsseln möchten, wählen Sie Enable encryption (Verschlüsselung aktivieren) aus.

    • Wenn Sie Daten im Ruhezustand in diesem Cluster nicht verschlüsseln möchten, wählen Sie Disable encryption (Verschlüsselung deaktivieren) aus.

  5. Wählen Sie den gewünschten Primärschlüssel aus. Amazon DocumentDB verwendet die AWS Key Management Service (AWS KMS), um Verschlüsselungsschlüssel abzurufen und zu verwalten und um die Richtlinien zu definieren, die steuern, wie diese Schlüssel verwendet werden können. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Amazon DocumentDB den standardmäßigen KMS-Schlüssel für AWS verwaltete Dienste. Weitere Informationen finden Sie unter AWS Key Management Service -Konzepte.

    Anmerkung

    Nachdem Sie einen verschlüsselten Cluster erstellt haben, können Sie den KMS-Schlüssel für diesen Cluster nicht ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.

  6. Füllen Sie die anderen Abschnitte nach Bedarf aus und erstellen Sie Ihren Cluster.

Einschränkungen für verschlüsselte Amazon DocumentDB-Cluster

Für verschlüsselte Amazon DocumentDB-Cluster gelten die folgenden Einschränkungen.

  • Sie können die Verschlüsselung im Ruhezustand für einen Amazon DocumentDB-Cluster nur zu dem Zeitpunkt aktivieren oder deaktivieren, zu dem er erstellt wurde, nicht nachdem der Cluster erstellt wurde. Sie können jedoch eine verschlüsselte Kopie eines unverschlüsselten Clusters erstellen, indem Sie einen Snapshot des unverschlüsselten Clusters erstellen und dann den unverschlüsselten Snapshot als neuen Cluster wiederherstellen und dabei die Option Verschlüsselung im Ruhezustand angeben.

    Weitere Informationen finden Sie unter den folgenden Themen:

  • Amazon DocumentDB-Cluster mit aktivierter Speicherverschlüsselung können nicht geändert werden, um die Verschlüsselung zu deaktivieren.

  • Alle Instances, automatisierten Backups, Snapshots und Indizes in einem Amazon DocumentDB-Cluster werden mit demselben KMS-Schlüssel verschlüsselt.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.