Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung im Ruhezustand in MemoryDB
Um Ihre Daten zu schützen, bieten MemoryDB und Amazon S3 verschiedene Möglichkeiten, den Zugriff auf Daten in Ihren Clustern einzuschränken. Weitere Informationen erhalten Sie unter MemoryDB und Amazon VPC und Identitäts- und Zugriffsmanagement in MemoryDB.
Die Verschlüsselung im Ruhezustand von MemoryDB ist immer aktiviert, um die Datensicherheit durch Verschlüsselung persistenter Daten zu erhöhen. Sie verschlüsselt die folgenden Aspekte:
-
Daten im Transaktionslog
-
Festplatte bei Synchronisierungs-, Snapshot- und Swap-Vorgängen
-
In Amazon S3 gespeicherte Schnappschüsse
MemoryDB bietet standardmäßige (vom Service verwaltete) Verschlüsselung im Ruhezustand sowie die Möglichkeit, Ihre eigenen symmetrischen, vom Kunden verwalteten Stammschlüssel im AWS Key Management Service () zu verwenden. KMS
Daten, die auf SSDs (Solid-State-Laufwerken) in Clustern mit aktivierter Datenklassifizierung gespeichert sind, werden standardmäßig immer verschlüsselt.
Weitere Informationen über Verschlüsselung während der Übertragung finden Sie unter Verschlüsselung während der Übertragung (TLS) in MemoryDB.
Themen
Verwenden von vom Kunden verwalteten Schlüsseln von AWS KMS
MemoryDB unterstützt symmetrische, vom Kunden verwaltete Root-Keys (KMSSchlüssel) für die Verschlüsselung im Ruhezustand. Kundenverwaltete KMS Schlüssel sind Verschlüsselungsschlüssel, die Sie in Ihrem Konto erstellen, besitzen und verwalten. AWS Weitere Informationen finden Sie unter Stammschlüssel für Kunden im AWS Key Management Service Developer Guide. Die Schlüssel müssen erstellt werden, AWS KMS bevor sie mit MemoryDB verwendet werden können.
Informationen zum Erstellen von AWS KMS Stammschlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.
MemoryDB ermöglicht Ihnen die Integration mit. AWS KMS Weitere Informationen finden Sie unter Verwendung von Berechtigungen im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst. Es sind keine Kundenaktionen erforderlich, um die MemoryDB-Integration mit zu aktivieren. AWS KMS
Der kms:ViaService
Bedingungsschlüssel beschränkt die Verwendung eines AWS KMS Schlüssels auf Anfragen von bestimmten AWS Diensten. Zur Verwendung kms:ViaService
mit MemoryDB schließen Sie beide ViaService Namen in den Wert des Bedingungsschlüssels ein:. memorydb.amazon_region.amazonaws.com
Weitere Informationen finden Sie unter kms:. ViaService
Sie können AWS CloudTraildamit die Anfragen verfolgen, an die MemoryDB in AWS Key Management Service Ihrem Namen sendet. Alle API Aufrufe von, die sich auf AWS Key Management Service vom Kunden verwaltete Schlüssel beziehen, haben entsprechende CloudTrail Protokolle. Sie können auch die Grants sehen, die MemoryDB generiert, indem Sie den ListGrantsKMSAPIAnruf aufrufen.
Sobald ein Cluster mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde, werden alle Snapshots für den Cluster wie folgt verschlüsselt:
Automatische tägliche Snapshots werden mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der dem Cluster zugeordnet ist.
Der endgültige Snapshot, der beim Löschen des Clusters erstellt wird, wird ebenfalls mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der dem Cluster zugeordnet ist.
Manuell erstellte Snapshots werden standardmäßig so verschlüsselt, dass sie den KMS Schlüssel verwenden, der dem Cluster zugeordnet ist. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.
Beim Kopieren eines Snapshots wird standardmäßig der vom Kunden verwaltete Schlüssel verwendet, der dem Quell-Snapshot zugeordnet ist. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.
Anmerkung
-
Vom Kunden verwaltete Schlüssel können nicht verwendet werden, wenn Snapshots in den ausgewählten Amazon S3 S3-Bucket exportiert werden. Alle nach Amazon S3 exportierten Snapshots werden jedoch mit serverseitiger Verschlüsselung verschlüsselt. Sie können die Snapshot-Datei in ein neues S3-Objekt kopieren und mit einem vom Kunden verwalteten KMS Schlüssel verschlüsseln, die Datei in einen anderen S3-Bucket kopieren, der mit einer Standardverschlüsselung mit einem KMS Schlüssel eingerichtet ist, oder eine Verschlüsselungsoption in der Datei selbst ändern.
-
Sie können auch vom Kunden verwaltete Schlüssel verwenden, um manuell erstellte Snapshots zu verschlüsseln, bei denen keine vom Kunden verwalteten Schlüssel zur Verschlüsselung verwendet werden. Mit dieser Option wird die in Amazon S3 gespeicherte Snapshot-Datei mit einem KMS Schlüssel verschlüsselt, obwohl die Daten im ursprünglichen Cluster nicht verschlüsselt sind.
Bei der Wiederherstellung aus einem Snapshot können Sie aus verfügbaren Verschlüsselungsoptionen wählen, ähnlich den Verschlüsselungsoptionen, die bei der Erstellung eines neuen Clusters verfügbar sind.
Wenn Sie den Schlüssel löschen oder den Schlüssel deaktivieren und Berechtigungen für den Schlüssel, den Sie zur Verschlüsselung eines Clusters verwendet haben, widerrufen, kann der Cluster nicht mehr wiederhergestellt werden. Mit anderen Worten, er kann nach einem Hardwarefehler nicht geändert oder wiederhergestellt werden. AWS KMSlöscht Root-Schlüssel erst nach einer Wartezeit von mindestens sieben Tagen. Nachdem der Schlüssel gelöscht wurde, können Sie einen anderen, vom Kunden verwalteten Schlüssel verwenden, um einen Snapshot für Archivierungszwecke zu erstellen.
Bei der automatischen Schlüsselrotation bleiben die Eigenschaften Ihrer AWS KMS Stammschlüssel erhalten, sodass die Rotation keine Auswirkungen auf Ihre Fähigkeit hat, auf Ihre MemoryDB-Daten zuzugreifen. Verschlüsselte MemoryDB-Cluster unterstützen keine manuelle Schlüsselrotation, bei der ein neuer Stammschlüssel erstellt und alle Verweise auf den alten Schlüssel aktualisiert werden müssen. Weitere Informationen finden Sie unter Rotation der Stammschlüssel von Kunden im AWS Key Management Service Developer Guide.
Für die Verschlüsselung eines MemoryDB-Clusters mithilfe eines KMS Schlüssels ist ein Grant pro Cluster erforderlich. Dieser Zuschuss wird während der gesamten Lebensdauer des Clusters verwendet. Darüber hinaus wird bei der Snapshot-Erstellung ein Grant pro Snapshot verwendet. Dieser Zuschuss wird zurückgezogen, sobald der Snapshot erstellt wurde.
Weitere Informationen zu AWS KMS Zuschüssen und Beschränkungen finden Sie unter Kontingente im AWS Key Management Service Developer Guide.