Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenschutz in Amazon DocumentDB
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) mit gilt für den Datenschutz in Amazon DocumentDB (mit MongoDB-Kompatibilität). Wie in diesem Modell beschrieben, AWS ist es verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen. AWS Cloud Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon DocumentDB oder anderen AWS-Services über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Clientseitige Verschlüsselung auf Feldebene](field-level-encryption.md)
+ [Verschlüsseln von Daten im Ruhezustand](encryption-at-rest.md)
+ [Verschlüsseln von Daten während der Übertragung](security.encryption.ssl.md)
+ [Schlüsselverwaltung](security.encryption.ssl.public-key.md)
# Clientseitige Verschlüsselung auf Feldebene
Mit der clientseitigen Verschlüsselung auf Feldebene (FLE) von Amazon DocumentDB können Sie sensible Daten in Ihren Client-Anwendungen verschlüsseln, bevor sie in einen Amazon DocumentDB-Cluster übertragen werden. Vertrauliche Daten bleiben verschlüsselt, wenn sie in einem Cluster gespeichert und verarbeitet werden, und werden beim Abrufen in der Client-Anwendung entschlüsselt.
**Topics**
+ [Erste Schritte](#fle-getting-started)
+ [Abfragen in der clientseitigen FLE](#fle-querying)
+ [Einschränkungen](#fle-limitationa)
## Erste Schritte
Die Erstkonfiguration der clientseitigen FLE in Amazon DocumentDB ist ein vierstufiger Prozess, der die Erstellung eines Verschlüsselungsschlüssels, die Zuordnung einer Rolle zur Anwendung, die Konfiguration der Anwendung und die Definition des CRUD-Vorgangs mit Verschlüsselungsoptionen umfasst.
**Topics**
+ [Schritt 1: Erstellen Sie die Verschlüsselungsschlüssel](#fle-step-create-key)
+ [Schritt 2: Ordnen Sie der Anwendung eine Rolle zu](#fle-step-associate-role)
+ [Schritt 3: Konfigurieren Sie die Anwendung](#fle-step-config-app)
+ [Schritt 4: Definieren Sie eine CRUD-Operation](#fle-step-crud-ops)
+ [Beispiel: Konfigurationsdatei für die clientseitige Verschlüsselung auf Feldebene](#fle-config-example)
### Schritt 1: Erstellen Sie die Verschlüsselungsschlüssel
Erstellen Sie mithilfe AWS Key Management Service eines symmetrischen Schlüssels, der zum Verschlüsseln und Entschlüsseln des vertraulichen Datenfeldes verwendet wird, und erteilen Sie ihm die erforderlichen IAM-Nutzungsberechtigungen. AWS KMS speichert den Kundenschlüssel (CK), der zur Verschlüsselung von Datenschlüsseln () verwendet wird. DKs Wir empfehlen, den Kundenschlüssel in KMS zu speichern, um Ihre Sicherheitslage zu stärken. Der Datenschlüssel ist der Sekundärschlüssel, der in einer Amazon DocumentDB-Sammlung gespeichert wird und benötigt wird, um sensible Felder zu verschlüsseln, bevor das Dokument in Amazon DocumentDB gespeichert wird. Der Kundenschlüssel verschlüsselt den Datenschlüssel, der wiederum Ihre Daten ver- und entschlüsselt. Wenn Sie einen globalen Cluster verwenden, können Sie einen Schlüssel für mehrere Regionen erstellen, der von verschiedenen Servicerollen in verschiedenen Regionen verwendet werden kann.
Weitere Informationen zum AWS Key Management Service, einschließlich der Erstellung eines Schlüssels, finden Sie im [AWS Key Management Service Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
### Schritt 2: Ordnen Sie der Anwendung eine Rolle zu
Erstellen Sie eine IAM-Richtlinie mit den entsprechenden AWS KMS Berechtigungen. Diese Richtlinie ermöglicht es IAM-Identitäten, an die sie angehängt ist, den im Ressourcenfeld angegebenen KMS-Schlüssel zu verschlüsseln und zu entschlüsseln. Ihre Anwendung nimmt diese IAM-Rolle für die Authentifizierung an. AWS KMS
Die Richtlinie sollte etwa wie folgt aussehen:
```
{ "Effect": "Allow",
"Action": ["kms:Decrypt", "kms:Encrypt"],
"Resource": "Customer Key ARN"
}
```
### Schritt 3: Konfigurieren Sie die Anwendung
Inzwischen haben Sie einen Kundenschlüssel definiert AWS KMS und eine IAM-Rolle erstellt und ihr die richtigen IAM-Berechtigungen für den Zugriff auf den Kundenschlüssel erteilt. Importieren Sie die erforderlichen Pakete.
```
import boto3
import json
import base64
from pymongo import MongoClient
from pymongo.encryption import (Algorithm,
ClientEncryption)
```
```
# create a session object:
my_session = boto3.session.Session()
# get access_key and secret_key programmatically using get_frozen_credentials() method:
current_credentials = my_session.get_credentials().get_frozen_credentials()
```
1. Geben Sie „aws“ als KMS-Anbietertyp an und geben Sie Ihre Kontoanmeldeinformationen ein, die Sie im vorherigen Schritt abgerufen haben.
```
provider = "aws"
kms_providers = {
provider: {
"accessKeyId": current_credentials.access_key,
"secretAccessKey": current_credentials.secret_key
}
}
```
1. Geben Sie den Kundenschlüssel an, der zur Verschlüsselung des Datenschlüssels verwendet wird:
```
customer_key = {
“region”: “AWS region of the customer_key”,
“key”: “customer_key ARN”
}
key_vault_namespace = "encryption.dataKeys"
key_alt_name = 'TEST_DATA_KEY'
```
1. Konfigurieren Sie das MongoClient Objekt:
```
client = MongoClient(connection_string)
coll = client.test.coll
coll.drop()
client_encryption = ClientEncryption(
kms_providers, # pass in the kms_providers variable from the previous step
key_vault_namespace = key_vault_namespace,
client,
coll.codec_options
)
```
1. Generieren Sie Ihren Datenschlüssel:
```
data_key_id = client_encryption.create_data_key(provider,
customer_key,
key_alt_name = [key_alt_name])
```
1. Rufen Sie Ihren vorhandenen Datenschlüssel ab:
```
data_key = DataKey("aws",
master_key = customer_key)
key_id = data_key["_id"]
data_key_id = client[key_vault_namespace].find_one({"_id": key_id})
```
### Schritt 4: Definieren Sie eine CRUD-Operation
Definieren Sie den CRUD-Vorgang mit Verschlüsselungsoptionen.
1. Definieren Sie die Sammlung in write/read/delete einem einzigen Dokument:
```
coll = client.gameinfo.users
```
1. Explizite Verschlüsselung — Felder verschlüsseln und Folgendes einfügen:
**Anmerkung**
Es muss genau einer der Werte „key\$1id“ oder „key\$1alt\$1name“ angegeben werden.
```
encrypted_first_name = client_encryption.encrypt(
"Jane",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
encrypted_last_name = client_encryption.encrypt(
"Doe",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
encrypted_dob = client_encryption.encrypt(
"1990-01-01",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Random,
key_alt_name=data_key_id
)
coll.insert_one(
{"gamerTag": "jane_doe90",
"firstName": encrypted_first_name,
"lastName": encrypted_last_name,
"dateOfBirth":encrypted_dob,
"Favorite_games":["Halo","Age of Empires 2","Medal of Honor"]
})
```
### Beispiel: Konfigurationsdatei für die clientseitige Verschlüsselung auf Feldebene
Ersetzen Sie im folgenden Beispiel jede *user input placeholder* durch Ihre eigenen Informationen.
```
# import python packages:
import boto3
import json
import base64
from pymongo import MongoClient
from pymongo.encryption import (Algorithm,
ClientEncryption)
def main():
# create a session object:
my_session = boto3.session.Session()
# get aws_region from session object:
aws_region = my_session.region_name
# get access_key and secret_key programmatically using get_frozen_credentials() method:
current_credentials = my_session.get_credentials().get_frozen_credentials()
provider = "aws"
# define the kms_providers which is later used to create the Data Key:
kms_providers = {
provider: {
"accessKeyId": current_credentials.access_key,
"secretAccessKey": current_credentials.secret_key
}
}
# enter the kms key ARN. Replace the example ARN value.
kms_arn = "arn:aws:kms:us-east-1:123456789:key/abcd-efgh-ijkl-mnop"
customer_key = {
"region": aws_region,
"key":kms_arn
}
# secrets manager is used to strore and retrieve user credentials for connecting to an Amazon DocumentDB cluster.
# retrieve the secret using the secret name. Replace the example secret key.
secret_name = "/dev/secretKey"
docdb_credentials = json.loads(my_session.client(service_name = 'secretsmanager', region_name = "us-east-1").get_secret_value(SecretId = secret_name)['SecretString'])
connection_params = '/?tls=true&tlsCAFile=global-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false'
conn_str = 'mongodb://' + docdb_credentials["username"] + ':' + docdb_credentials["password"] + '@' + docdb_credentials["host"] + ':' + str(docdb_credentials["port"]) + connection_params
client = MongoClient(conn_str)
coll = client.test.coll
coll.drop()
# store the encryption data keys in a key vault collection (having naming convention as db.collection):
key_vault_namespace = "encryption.dataKeys"
key_vault_db_name, key_vault_coll_name = key_vault_namespace.split(".", 1)
# set up the key vault (key_vault_namespace) for this example:
key_vault = client[key_vault_db_name][key_vault_coll_name]
key_vault.drop()
key_vault.create_index("keyAltNames", unique=True)
client_encryption = ClientEncryption(
kms_providers,
key_vault_namespace,
client,
coll.codec_options)
# create a new data key for the encrypted field:
data_key_id = client_encryption.create_data_key(provider, master_key=customer_key, key_alt_names=["some_key_alt_name"], key_material = None)
# explicitly encrypt a field:
encrypted_first_name = client_encryption.encrypt(
"Jane",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_id=data_key_id
)
coll.insert_one(
{"gamerTag": "jane_doe90",
"firstName": encrypted_first_name
})
doc = coll.find_one()
print('Encrypted document: %s' % (doc,))
# explicitly decrypt the field:
doc["encryptedField"] = client_encryption.decrypt(doc["encryptedField"])
print('Decrypted document: %s' % (doc,))
# cleanup resources:
client_encryption.close()
client.close()
if __name__ == "__main__":
main()
```
## Abfragen in der clientseitigen FLE
Amazon DocumentDB unterstützt Punktgleichheitsabfragen mit clientseitiger FLE. Ungleichheits- und Vergleichsabfragen können zu ungenauen Ergebnissen führen. Lese- und Schreibvorgänge können im Vergleich zur Ausführung derselben Operation für den entschlüsselten Wert ein unerwartetes oder falsches Verhalten aufweisen.
Um beispielsweise Filter für Dokumente abzufragen, bei denen der Gamerscore größer als 500 ist:
```
db.users.find( {
"gamerscore" : { $gt : 500 }
})
```
Der Client verwendet eine explizite Verschlüsselungsmethode, um den Abfragewert zu verschlüsseln:
```
encrypted_gamerscore_filter = client_encryption.encrypt(
500,
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
db.users.find( {
"gamerscore" : { $gt : encrypted_gamerscore_filter }
} )
```
Bei der Suche vergleicht Amazon DocumentDB den verschlüsselten Wert 500 mit den verschlüsselten Feldwerten, die in den einzelnen Dokumenten gespeichert sind, und verwendet dabei die Prüfung „Größer als Ungleichheit“. Die Ungleichheitsprüfung bei der Suche kann zu einem anderen Ergebnis führen, wenn sie mit entschlüsselten Daten und Werten durchgeführt wird, obwohl die Operation erfolgreich Ergebnisse generiert.
## Einschränkungen
Die folgenden Einschränkungen gelten für die clientseitige Verschlüsselung auf Feldebene von Amazon DocumentDB:
+ Amazon DocumentDB unterstützt nur Punktgleichheitsabfragen. Ungleichheits- und Vergleichsabfragen können zu ungenauen Ergebnissen führen. Lese- und Schreibvorgänge können im Vergleich zur Ausführung derselben Operation für den entschlüsselten Wert ein unerwartetes oder falsches Verhalten aufweisen. Um Filter für Dokumente abzufragen, bei denen der Gamerscore größer als 500 ist.
```
db.users.find( {
"gamerscore" : { $gt : 500 }
})
```
Der Client verwendet eine explizite Verschlüsselungsmethode, um den Abfragewert zu verschlüsseln.
```
encrypted_gamerscore_filter = client_encryption.encrypt(
500,
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
db.users.find({
"gamerscore" : { $gt : encrypted_gamerscore_filter }
})
```
Bei der Suche vergleicht Amazon DocumentDB den verschlüsselten Wert 500 mit den verschlüsselten Feldwerten, die in den einzelnen Dokumenten gespeichert sind, und verwendet dabei die Prüfung „Größer als Ungleichheit“. Die Ungleichheitsprüfung bei der Suche kann zu einem anderen Ergebnis führen, wenn sie mit entschlüsselten Daten und Werten durchgeführt wird, obwohl die Operation erfolgreich Ergebnisse generiert.
+ Amazon DocumentDB unterstützt keine explizite clientseitige FLE aus der Mongo Shell. Die Funktion funktioniert jedoch mit jedem unserer unterstützten Treiber.
# Verschlüsselung von Amazon DocumentDB DocumentDB-Daten im Ruhezustand
**Anmerkung**
AWS KMS ersetzt den Begriff *Customer Master Key (CMK)* durch *AWS KMS key*einen *KMS-Schlüssel*. Das Konzept hat sich nicht geändert. Um bahnbrechende Änderungen zu verhindern, AWS KMS werden einige Varianten dieses Begriffs beibehalten.
Sie verschlüsseln ruhende Daten in Ihrem Amazon DocumentDB-Cluster, indem Sie bei der Erstellung Ihres Clusters die Speicherverschlüsselungsoption angeben. Die Speicher-Verschlüsselung ist Cluster-weit aktiviert und wird auf alle Instances angewendet, einschließlich der primären Instance und alle Replikate. Sie wird auch auf das Speichervolumen Ihres Clusters, auf Daten, Indizes, Protokolle, automatisierte Sicherungen und Snapshots angewendet.
Amazon DocumentDB verwendet den 256-Bit-Advanced Encryption Standard (AES-256), um Ihre Daten mit den in () gespeicherten Verschlüsselungsschlüsseln zu verschlüsseln. AWS Key Management Service AWS KMS Wenn Sie einen Amazon DocumentDB-Cluster mit aktivierter Verschlüsselung im Ruhezustand verwenden, müssen Sie Ihre Anwendungslogik oder Client-Verbindung nicht ändern. Amazon DocumentDB wickelt die Verschlüsselung und Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung ab.
Amazon DocumentDB ist in eine Methode integriert, die als Umschlagverschlüsselung bekannt ist, AWS KMS und verwendet diese zum Schutz Ihrer Daten. Wenn ein Amazon DocumentDB-Cluster mit einem verschlüsselt ist AWS KMS, bittet Amazon DocumentDB, Ihren KMS-Schlüssel AWS KMS zu verwenden, um [einen Chiffretext-Datenschlüssel zur Verschlüsselung des Speichervolumes zu generieren](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html). Der Chiffretext-Datenschlüssel wird mit dem von Ihnen definierten KMS-Schlüssel verschlüsselt und zusammen mit den verschlüsselten Daten und Speichermetadaten gespeichert. Wenn Amazon DocumentDB auf Ihre verschlüsselten Daten zugreifen muss, fordert AWS KMS es die Entschlüsselung des Chiffretext-Datenschlüssels mithilfe Ihres KMS-Schlüssels an und speichert den Klartext-Datenschlüssel im Speicher, um Daten auf dem Speichervolume effizient zu verschlüsseln und zu entschlüsseln.
Die Speicherverschlüsselungsfunktion in Amazon DocumentDB ist für alle unterstützten Instance-Größen und überall dort verfügbar, AWS-Regionen wo Amazon DocumentDB verfügbar ist.
## Verschlüsselung im Ruhezustand für einen Amazon DocumentDB-Cluster aktivieren
Sie können die Verschlüsselung im Ruhezustand auf einem Amazon DocumentDB-Cluster aktivieren oder deaktivieren, wenn der Cluster entweder mit dem AWS-Managementkonsole oder dem AWS Command Line Interface ()AWS CLI bereitgestellt wird. Cluster, die Sie mit der Konsole erstellen, haben standardmäßig die Verschlüsselung im Ruhezustand aktiviert. Bei Clustern, die Sie mit dem erstellen, ist AWS CLI die Verschlüsselung im Ruhezustand standardmäßig deaktiviert. Daher müssen Sie die Verschlüsselung im Ruhezustand explizit mit dem `--storage-encrypted`-Parameter aktivieren. In beiden Fällen können Sie nach dem Erstellen des Clusters die Option „Verschlüsselung im Ruhezustand“ nicht ändern.
Amazon DocumentDB verwendet, AWS KMS um Verschlüsselungsschlüssel abzurufen und zu verwalten und die Richtlinien zu definieren, die kontrollieren, wie diese Schlüssel verwendet werden können. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Amazon DocumentDB den standardmäßigen KMS-Schlüssel für AWS verwaltete Dienste. Amazon DocumentDB erstellt für jeden AWS-Region in Ihrem AWS-Konto einen eigenen KMS-Schlüssel. Weitere Informationen finden Sie unter [AWS Key Management Service -Konzepte](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).
Informationen zu den ersten Schritten beim Erstellen Ihres eigenen KMS-Schlüssels finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) im *AWS Key Management Service Entwicklerhandbuch*.
**Wichtig**
Sie müssen einen KMS-Schlüssel für die symmetrische Verschlüsselung verwenden, um Ihren Cluster zu verschlüsseln, da Amazon DocumentDB nur KMS-Schlüssel mit symmetrischer Verschlüsselung unterstützt. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um zu versuchen, die Daten in Ihren Amazon DocumentDB-Clustern zu verschlüsseln. *Weitere Informationen finden Sie unter [Asymmetrische Schlüssel AWS KMS im Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html).AWS Key Management Service *
Wenn Amazon DocumentDB keinen Zugriff mehr auf den Verschlüsselungsschlüssel für einen Cluster erhält — zum Beispiel, wenn der Zugriff auf einen Schlüssel gesperrt wird — geht der verschlüsselte Cluster in einen Terminalstatus über. In diesem Fall können Sie den Cluster nur aus einer Sicherung wiederherstellen. Für Amazon DocumentDB sind Backups immer für einen Tag aktiviert.
Wenn Sie den Schlüssel für einen verschlüsselten Amazon DocumentDB-Cluster deaktivieren, verlieren Sie außerdem irgendwann den Lese- und Schreibzugriff auf diesen Cluster. Wenn Amazon DocumentDB auf einen Cluster trifft, der mit einem Schlüssel verschlüsselt ist, auf den es keinen Zugriff hat, versetzt es den Cluster in einen Terminalstatus. In diesem Fall ist der Cluster nicht länger verfügbar und der aktuelle Zustand der Datenbank kann nicht mehr wiederhergestellt werden. Um den Cluster wiederherzustellen, müssen Sie den Zugriff auf den Verschlüsselungsschlüssel für Amazon DocumentDB erneut aktivieren und dann den Cluster aus einem Backup wiederherstellen.
**Wichtig**
Sie können den KMS-Schlüssel für einen verschlüsselten Cluster nicht ändern, nachdem Sie ihn bereits erstellt haben. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.
------
#### [ Using the AWS-Managementkonsole ]
Geben Sie beim Erstellen eines Clusters die Option „Verschlüsselung im Ruhezustand“ an. Die Verschlüsselung im Ruhezustand ist standardmäßig aktiviert, wenn Sie einen Cluster mit der AWS-Managementkonsole erstellen. Nachdem der Cluster erstellt wurde, kann er nicht mehr geändert werden.
**So legen Sie beim Erstellen eines Clusters die Option „Verschlüsselung im Ruhezustand“ fest**
1. Erstellen Sie einen Amazon DocumentDB-Cluster, wie im Abschnitt [Erste Schritte](https://docs.aws.amazon.com/documentdb/latest/developerguide/connect-ec2.launch-cluster.html) beschrieben. Wählen Sie jedoch in Schritt 6 nicht **Create Cluster (Cluster erstellen)** aus.
1. Wählen Sie unterhalb des Abschnitts **Authentication (Authentifizierung)** die Option **Show advanced settings (Erweiterte Einstellungen anzeigen)** aus.
1. Scrollen Sie nach unten zum ncryption-at-rest Abschnitt **E.**
1. Wählen Sie die Option aus, die Sie für die Verschlüsselung im Ruhezustand wünschen. Egal, welche Option Sie wählen, nach dem Erstellen des Clusters können Sie sie nicht mehr ändern.
+ Wenn Sie Daten im Ruhezustand in diesem Cluster verschlüsseln möchten, wählen Sie **Enable encryption (Verschlüsselung aktivieren)** aus.
+ Wenn Sie Daten im Ruhezustand in diesem Cluster nicht verschlüsseln möchten, wählen Sie **Disable encryption (Verschlüsselung deaktivieren)** aus.
1. Wählen Sie den gewünschten Primärschlüssel aus. Amazon DocumentDB verwendet die AWS Key Management Service (AWS KMS), um Verschlüsselungsschlüssel abzurufen und zu verwalten und um die Richtlinien zu definieren, die steuern, wie diese Schlüssel verwendet werden können. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Amazon DocumentDB den standardmäßigen KMS-Schlüssel für AWS verwaltete Dienste. Weitere Informationen finden Sie unter [AWS Key Management Service -Konzepte](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).
**Anmerkung**
Nachdem Sie einen verschlüsselten Cluster erstellt haben, können Sie den KMS-Schlüssel für diesen Cluster nicht ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.
1. Füllen Sie die anderen Abschnitte nach Bedarf aus und erstellen Sie Ihren Cluster.
------
#### [ Using the AWS CLI ]
Um einen Amazon DocumentDB-Cluster mit dem zu verschlüsseln AWS CLI, führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)Befehl aus und geben Sie die `--storage-encrypted` Option an. Amazon DocumentDB-Cluster, die mit dem erstellt wurden, aktivieren standardmäßig AWS CLI keine Speicherverschlüsselung.
Im folgenden Beispiel wird ein Amazon DocumentDB-Cluster mit aktivierter Speicherverschlüsselung erstellt.
Ersetzen Sie in den folgenden Beispielen jedes *user input placeholder* durch die Informationen Ihres Clusters.
**Example**
Für Linux, macOS oder Unix:
```
aws docdb create-db-cluster \
--db-cluster-identifier mydocdbcluster \
--port 27017 \
--engine docdb \
--master-username SampleUser1 \
--master-user-password primaryPassword \
--storage-encrypted
```
Für Windows:
```
aws docdb create-db-cluster ^
--db-cluster-identifier SampleUser1 ^
--port 27017 ^
--engine docdb ^
--master-username SampleUser1 ^
--master-user-password primaryPassword ^
--storage-encrypted
```
Wenn Sie einen verschlüsselten Amazon DocumentDB-Cluster erstellen, können Sie eine AWS KMS Schlüssel-ID angeben, wie im folgenden Beispiel.
**Example**
Für Linux, macOS oder Unix:
```
aws docdb create-db-cluster \
--db-cluster-identifier SampleUser1 \
--port 27017 \
--engine docdb \
--master-username primaryUsername \
--master-user-password yourPrimaryPassword \
--storage-encrypted \
--kms-key-id key-arn-or-alias
```
Für Windows:
```
aws docdb create-db-cluster ^
--db-cluster-identifier SampleUser1 ^
--port 27017 ^
--engine docdb ^
--master-username SampleUser1 ^
--master-user-password primaryPassword ^
--storage-encrypted ^
--kms-key-id key-arn-or-alias
```
**Anmerkung**
Nachdem Sie einen verschlüsselten Cluster erstellt haben, können Sie den KMS-Schlüssel für diesen Cluster nicht ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.
------
## Einschränkungen für verschlüsselte Amazon DocumentDB-Cluster
Für verschlüsselte Amazon DocumentDB-Cluster gelten die folgenden Einschränkungen.
+ Sie können die Verschlüsselung im Ruhezustand für einen Amazon DocumentDB-Cluster nur zu dem Zeitpunkt aktivieren oder deaktivieren, zu dem er erstellt wurde, nicht nachdem der Cluster erstellt wurde. Sie können jedoch eine verschlüsselte Kopie eines unverschlüsselten Clusters erstellen, indem Sie einen Snapshot des unverschlüsselten Clusters erstellen und dann den unverschlüsselten Snapshot als neuen Cluster wiederherstellen und dabei die Option Verschlüsselung im Ruhezustand angeben.
Weitere Informationen finden Sie unter den folgenden Themen:
+ [Einen manuellen Cluster-Snapshot erstellen](backup_restore-create_manual_cluster_snapshot.md)
+ [Wiederherstellung aus einem Cluster-Snapshot](backup_restore-restore_from_snapshot.md)
+ [Amazon DocumentDB-Cluster-Snapshots kopieren](backup_restore-copy_cluster_snapshot.md)
+ Amazon DocumentDB-Cluster mit aktivierter Speicherverschlüsselung können nicht geändert werden, um die Verschlüsselung zu deaktivieren.
+ Alle Instances, automatisierten Backups, Snapshots und Indizes in einem Amazon DocumentDB-Cluster werden mit demselben KMS-Schlüssel verschlüsselt.
# Verschlüsseln von Daten während der Übertragung
Sie können Transport Layer Security (TLS) verwenden, um die Verbindung zwischen Ihrer Anwendung und einem Amazon DocumentDB-Cluster zu verschlüsseln. Standardmäßig ist die Verschlüsselung bei der Übertragung für neu erstellte Amazon DocumentDB-Cluster aktiviert. Sie kann bei der Erstellung des Clusters oder zu einem späteren Zeitpunkt optional deaktiviert werden. Wenn die Verschlüsselung während der Übertragung aktiviert ist, sind sichere Verbindungen mit TLS erforderlich, um eine Verbindung mit dem Cluster herzustellen. Weitere Informationen zum Herstellen einer Verbindung zu Amazon DocumentDB über TLS finden Sie unter [Programmgesteuertes Herstellen einer Verbindung zu Amazon DocumentDB](connect_programmatically.md).
## TLS-Einstellungen für Amazon DocumentDB-Cluster verwalten
Die Verschlüsselung während der Übertragung für einen Amazon DocumentDB-Cluster wird über den TLS-Parameter in einer [Cluster-Parametergruppe](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html) verwaltet. Sie können Ihre Amazon DocumentDB-Cluster-TLS-Einstellungen mit dem AWS-Managementkonsole oder dem AWS Command Line Interface (AWS CLI) verwalten. In den folgenden Abschnitten finden Sie weitere Informationen zum Überprüfen und Ändern Ihrer aktuellen TLS-Einstellungen.
------
#### [ Using the AWS-Managementkonsole ]
Gehen Sie wie folgt vor, um Verwaltungsaufgaben für die TLS-Verschlüsselung mithilfe der Konsole durchzuführen, z. B. Parametergruppen zu identifizieren, den TLS-Wert zu überprüfen und die erforderlichen Änderungen vorzunehmen.
**Anmerkung**
Sofern Sie beim Erstellen eines Clusters keine andere Angabe machen, wird Ihr Cluster mit der standardmäßigen Cluster-Parametergruppe erstellt. Die Parameter in der `default`-Cluster-Parametergruppe können nicht geändert werden (z. B. `tls` ist aktiviert/deaktiviert). Wenn Ihr Cluster also eine `default`-Cluster-Parametergruppe verwendet, müssen Sie den Cluster so ändern, dass er eine nicht standardmäßige Cluster-Parametergruppe verwendet. Zuerst müssen Sie möglicherweise eine benutzerdefinierte Cluster-Parametergruppe erstellen. Weitere Informationen finden Sie unter [Amazon DocumentDB-Cluster-Parametergruppen erstellen](cluster_parameter_groups-create.md).
1. **Bestimmen Sie, welche Cluster-Parametergruppe Ihr Cluster verwendet.**
1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. Klicken Sie im Navigationsbereich auf **Cluster**.
**Tipp**
Wenn der Navigationsbereich auf der linken Seite des Bildschirms nicht angezeigt wird, wählen Sie links oben auf der Seite das Menüsymbol (![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/de_de/documentdb/latest/developerguide/images/docdb-menu-icon.png)) aus.
1. Beachten Sie, dass im **Cluster-Navigationsfeld** in der Spalte **Cluster-Identifier sowohl Cluster** als auch Instances angezeigt werden. Instances werden unter Clustern aufgeführt. Sehen Sie sich den Screenshot unten als Referenz an.
![\[Bild des Cluster-Navigationsfeldes mit einer Liste vorhandener Cluster-Links und der entsprechenden Instance-Links.\]](http://docs.aws.amazon.com/de_de/documentdb/latest/developerguide/images/clusters.png)
1. Wählen Sie den Cluster aus, an dem Sie interessiert sind.
1. Wählen Sie die Registerkarte **Konfiguration** und scrollen Sie bis zum Ende der **Cluster-Details** und suchen Sie die **Cluster-Parametergruppe**. Der Name der Cluster-Parametergruppe.
Wenn der Name der Cluster-Parametergruppe `default` lautet (z. B. `default.docdb3.6`), müssen Sie eine benutzerdefinierte Cluster-Parametergruppe erstellen und diese zur Parametergruppe des Clusters machen, bevor Sie fortfahren. Weitere Informationen finden Sie hier:
1. [Amazon DocumentDB-Cluster-Parametergruppen erstellen](cluster_parameter_groups-create.md)— Wenn Sie keine benutzerdefinierte Cluster-Parametergruppe haben, die Sie verwenden können, erstellen Sie eine.
1. [Ändern eines Amazon DocumentDB-Clusters](db-cluster-modify.md)— Ändern Sie Ihren Cluster so, dass er die benutzerdefinierte Cluster-Parametergruppe verwendet.
1. **Bestimmen Sie den aktuellen Wert des `tls`-Cluster-Parameters**.
1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. Wählen Sie im Navigationsbereich **Parameter groups (Parametergruppen)** aus.
1. Wählen Sie aus der Liste der Cluster-Parametergruppen den Namen der von Ihnen gewünschten Cluster-Parametergruppe aus.
1. Suchen Sie den Abschnitt **Cluster-Parameter**. Suchen Sie in der Liste der Cluster-Parameter die Zeile des `tls`-Cluster-Parameters. An dieser Stelle sind die folgenden vier Spalten wichtig:
+ **Cluster-Parametername** — Der Name der Cluster-Parameter. Für die Verwaltung von TLS benötigen Sie den `tls`-Cluster-Parameter.
+ **Werte** — Der aktuelle Wert jedes Cluster-Parameters.
+ **Zulässige Werte** — Eine Liste von Werten, die auf einen Cluster-Parameter angewendet werden können.
+ **Typ anwenden** — Entweder **statisch** oder **dynamisch**. Änderungen an statischen Cluster-Parametern können nur übernommen werden, wenn die Instances neu gestartet werden. Änderungen an dynamischen Cluster-Parametern können entweder sofort übernommen werden oder wenn die Instances neu gestartet werden.
1. **Ändern Sie den Wert des `tls`-Cluster-Parameters.**
Wenn der Wert für `tls` nicht der benötigte Wert ist, ändern Sie ihn für diese Cluster-Parametergruppe. Um den Wert des `tls`-Cluster-Parameters zu ändern, fahren Sie nach dem vorherigen Abschnitt mit folgenden Schritten fort.
1. Wählen Sie die Schaltfläche links neben dem Namen des Cluster-Parameters (`tls`).
1. Wählen Sie **Bearbeiten** aus.
1. Um den Wert von zu ändern`tls`, wählen Sie im `tls` Dialogfeld **Ändern** in der Dropdownliste den gewünschten Wert für den Cluster-Parameter aus.
Gültige Werte für sind:
+ **deaktiviert — Deaktiviert** TLS
+ **aktiviert — Aktiviert** die TLS-Versionen 1.0 bis 1.3.
+ **fips-140-3** — Aktiviert TLS mit FIPS. Der Cluster akzeptiert nur sichere Verbindungen gemäß den Anforderungen der Veröffentlichung 140-3 der Federal Information Processing Standards (FIPS). Dies wird erst ab Amazon DocumentDB 5.0-Clustern (Engine-Version 3.0.3727) in diesen Regionen unterstützt: ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west
+ **tls1.2\$1 — Aktiviert TLS Version 1.2 und höher.** Dies wird erst ab Amazon DocumentDB 4.0 (Engine-Version 2.0.10980) und Amazon DocumentDB (Engine-Version 3.0.11051) unterstützt.
+ **tls1.3\$1** — Aktiviert TLS Version 1.3 und höher. Dies wird erst ab Amazon DocumentDB 4.0 (Engine-Version 2.0.10980) und Amazon DocumentDB (Engine-Version 3.0.11051) unterstützt.
![\[Bild eines clusterspezifischen Dialogfelds „TLS modifizieren“.\]](http://docs.aws.amazon.com/de_de/documentdb/latest/developerguide/images/modify-tls.png)
1. Wählen Sie **Modify Cluster Parameter (Cluster-Parameter ändern)**. Die Änderung wird beim Neustart auf jede Cluster-Instance angewendet.
1. **Starten Sie die Amazon DocumentDB DocumentDB-Instance neu.**
Starten Sie jede Instance des Clusters neu, sodass die Änderung für alle Instances im Cluster übernommen wird.
1. Öffnen Sie die Amazon DocumentDB DocumentDB-Konsole unter [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Um eine Instance anzugeben, die neu gestartet werden soll, suchen Sie die Instance in der Liste der Instances und wählen Sie die Schaltfläche links neben dem Namen aus.
1. Wählen Sie **Actions (Aktionen)** und dann **Reboot (Neustart) aus**. Bestätigen Sie, dass Sie neu starten möchten, indem Sie auf **Reboot (Neustart)** klicken.
------
#### [ Using the AWS CLI ]
Gehen Sie wie folgt vor, um Verwaltungsaufgaben für die TLS-Verschlüsselung mithilfe von durchzuführen, AWS CLI z. B. Parametergruppen zu identifizieren, den TLS-Wert zu überprüfen und die erforderlichen Änderungen vorzunehmen.
**Anmerkung**
Sofern Sie beim Erstellen eines Clusters keine andere Angabe machen, wird Ihr Cluster mit der standardmäßigen Cluster-Parametergruppe erstellt. Die Parameter in der `default`-Cluster-Parametergruppe können nicht geändert werden (z. B. `tls` ist aktiviert/deaktiviert). Wenn Ihr Cluster also eine `default`-Cluster-Parametergruppe verwendet, müssen Sie den Cluster so ändern, dass er eine nicht standardmäßige Cluster-Parametergruppe verwendet. Möglicherweise müssen Sie zuerst eine benutzerdefinierte Cluster-Parametergruppe erstellen. Weitere Informationen finden Sie unter [Amazon DocumentDB-Cluster-Parametergruppen erstellen](cluster_parameter_groups-create.md).
1. **Bestimmen Sie, welche Cluster-Parametergruppe Ihr Cluster verwendet.**
Führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)Befehl mit den folgenden Optionen aus:
+ `--db-cluster-identifier`
+ `--query`
Ersetzen Sie im folgenden Beispiel jede *user input placeholder* durch die Informationen Ihres Clusters.
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
Die Ausgabe dieses Vorgangs sieht etwa wie folgt aus (JSON-Format):
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
Wenn der Name der Cluster-Parametergruppe `default` lautet (z. B. `default.docdb3.6`), benötigen Sie eine benutzerdefinierte Cluster-Parametergruppe und müssen diese zur Parametergruppe des Clusters machen, bevor Sie fortfahren. Weitere Informationen finden Sie unter den folgenden Themen:
1. [Amazon DocumentDB-Cluster-Parametergruppen erstellen](cluster_parameter_groups-create.md)— Wenn Sie keine benutzerdefinierte Cluster-Parametergruppe haben, die Sie verwenden können, erstellen Sie eine.
1. [Ändern eines Amazon DocumentDB-Clusters](db-cluster-modify.md)— Ändern Sie Ihren Cluster so, dass er die benutzerdefinierte Cluster-Parametergruppe verwendet.
1. **Bestimmen Sie den aktuellen Wert des `tls`-Cluster-Parameters**.
Um weitere Informationen zu dieser Cluster-Parametergruppe zu erhalten, führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html)Befehl mit den folgenden Optionen aus:
+ `--db-cluster-parameter-group-name`
+ `--query`
Beschränkt die Ausgabe nur auf die Interessenfelder: `ParameterName``ParameterValue`,`AllowedValues`, und`ApplyType`.
Ersetzen Sie im folgenden Beispiel jedes *user input placeholder* durch die Informationen Ihres Clusters.
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
Die Ausgabe dieses Vorgangs sieht etwa wie folgt aus (JSON-Format):
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **Ändern Sie den Wert des `tls`-Cluster-Parameters.**
Wenn der Wert für `tls` nicht der benötigte Wert ist, ändern Sie ihn für diese Cluster-Parametergruppe. Um den Wert des `tls` Cluster-Parameters zu ändern, führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html)Befehl mit den folgenden Optionen aus:
+ `--db-cluster-parameter-group-name` – Erforderlich. Der Name der zu ändernden Cluster-Parametergruppe. Dabei darf es sich nicht um eine `default.*`-Cluster-Parametergruppe handeln.
+ `--parameters` – Erforderlich. Eine Liste der zu ändernden Parameter der Cluster- Parametergruppe.
+ `ParameterName` – Erforderlich. Der Name des zu ändernden Cluster-Parameters.
+ `ParameterValue` – Erforderlich. Der neue Wert für diesen Cluster-Parameter. Muss einer der `AllowedValues` des Cluster-Parameters sein.
+ `enabled`— Der Cluster akzeptiert sichere Verbindungen mit TLS der Versionen 1.0 bis 1.3.
+ `disabled`— Der Cluster akzeptiert keine sicheren Verbindungen mit TLS.
+ `fips-140-3`— Der Cluster akzeptiert nur sichere Verbindungen gemäß den Anforderungen der Veröffentlichung 140-3 der Federal Information Processing Standards (FIPS). Dies wird erst ab Amazon DocumentDB 5.0-Clustern (Engine-Version 3.0.3727) in diesen Regionen unterstützt: ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west
+ `tls1.2+`— Der Cluster akzeptiert sichere Verbindungen mit TLS Version 1.2 und höher. Dies wird erst ab Amazon DocumentDB 4.0 (Engine-Version 2.0.10980) und Amazon DocumentDB 5.0 (Engine-Version 3.0.11051) unterstützt.
+ `tls1.3+`— Der Cluster akzeptiert sichere Verbindungen mit TLS Version 1.3 und höher. Dies wird erst ab Amazon DocumentDB 4.0 (Engine-Version 2.0.10980) und Amazon DocumentDB 5.0 (Engine-Version 3.0.11051) unterstützt.
+ `ApplyMethod`— Wann diese Änderung angewendet werden soll. Für statische Cluster-Parameter wie `tle` muss dieser Wert `pending-reboot` lauten.
+ `pending-reboot`— Die Änderung wird erst auf eine Instanz angewendet, nachdem sie neu gestartet wurde. Sie müssen jede Cluster-Instance einzeln neu starten, damit die Änderung für alle Instances des Clusters übernommen wird.
Ersetzen Sie in den folgenden Beispielen jedes Beispiel durch die *user input placeholder* Informationen Ihres Clusters.
Der folgende Code *deaktiviert* `tls` und wendet die Änderung auf jede Instanz an, wenn sie neu gestartet wird.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
Der folgende Code *ermöglicht es* `tls` (Version 1.0 bis 1.3), die Änderung auf jede Instanz anzuwenden, wenn diese neu gestartet wird.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
Der folgende Code *aktiviert* TLS mit `fips-140-3` und wendet die Änderung auf jede Instanz an, wenn sie neu gestartet wird.
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
Die Ausgabe dieses Vorgangs sieht etwa wie folgt aus (JSON-Format):
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **Starten Sie Ihre Amazon DocumentDB DocumentDB-Instance neu.**
Starten Sie jede Instance des Clusters neu, sodass die Änderung für alle Instances im Cluster übernommen wird. Um eine Amazon DocumentDB DocumentDB-Instance neu zu starten, führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html)Befehl mit der folgenden Option aus:
+ `--db-instance-identifier`
Der folgende Code startet die Instance `mydocdbinstance` neu.
Ersetzen Sie in den folgenden Beispielen jedes Beispiel *user input placeholder* durch die Informationen Ihres Clusters.
**Example**
Für Linux, macOS oder Unix:
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Für Windows:
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
Die Ausgabe dieses Vorgangs sieht etwa wie folgt aus (JSON-Format):
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
Es dauert einige Minuten, bis Ihre Instance neu gestartet wird. Sie können die Instance nur verwenden, wenn ihr Status *available* ist. Sie können mit der Konsole oder der AWS CLI den Status der Instance überwachen. Weitere Informationen finden Sie unter [Den Status einer Amazon DocumentDB DocumentDB-Instance überwachen](monitoring_docdb-instance_status.md).
------
# Schlüsselverwaltung
Amazon DocumentDB verwendet AWS Key Management Service (AWS KMS), um Verschlüsselungsschlüssel abzurufen und zu verwalten. AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Mithilfe AWS KMS können Sie Verschlüsselungsschlüssel erstellen und die Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können. AWS KMS unterstützt AWS CloudTrail, sodass Sie die Verwendung von Schlüsseln überprüfen können, um sicherzustellen, dass die Schlüssel ordnungsgemäß verwendet werden.
Ihre AWS KMS Schlüssel können in Kombination mit Amazon DocumentDB und unterstützten AWS Diensten wie Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), Amazon Elastic Block Store (Amazon EBS) und Amazon Redshift verwendet werden. *Eine Liste der Dienste, die unterstützt werden AWS KMS, finden Sie unter [So verwenden Sie AWS Dienste AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html) im Entwicklerhandbuch.AWS Key Management Service * Weitere Informationen zu AWS KMS finden Sie unter [Was ist AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)