Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verschlüsselung ruhender Daten in Ihrer Amazon Neptune Neptune-Datenbank

PDF
RSS
Fokusmodus
Verschlüsselung ruhender Daten in Ihrer Amazon Neptune Neptune-Datenbank - Amazon Neptune
Aktivieren der VerschlüsselungWichtige BerechtigungenEinschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselte Neptune-Instances bieten eine zusätzliche Datenschutzebene, da Sie Ihre Daten vor nicht autorisierten Zugriffen auf den zugrunde liegenden Speicher schützen. Sie können mithilfe der Neptune-Verschlüsselung den Datenschutz für Ihre in der Cloud bereitgestellten Anwendungen erhöhen. Sie können es auch verwenden, um die Compliance-Anforderungen für die Verschlüsselung zu erfüllen. data-at-rest

Um die Schlüssel zu verwalten, die zum Verschlüsseln und Entschlüsseln Ihrer Neptune-Ressourcen verwendet werden, verwenden Sie ().AWS Key Management ServiceAWS KMS AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Mithilfe AWS KMS können Sie Verschlüsselungsschlüssel erstellen und die Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können. AWS KMS unterstützt AWS CloudTrail, sodass Sie die Verwendung von Schlüsseln überprüfen können, um sicherzustellen, dass die Schlüssel ordnungsgemäß verwendet werden. Sie können Ihre AWS KMS Schlüssel in Kombination mit Neptune und unterstützten AWS Diensten wie Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS) und Amazon Redshift verwenden. Eine Liste der Dienste, die diese Unterstützung bieten, finden Sie AWS KMS im AWS KMS Entwicklerhandbuch unter How AWS Services Use.AWS Key Management Service

Für eine verschlüsselte Neptune-Instance werden alle Protokolle, Sicherungen und Snapshots verschlüsselt.

Aktivieren der Verschlüsselung für eine Neptune-DB-Instance

Um die Verschlüsslung für eine neue Neptune-DB-Instance zu aktivieren, wählen Sie Yes (Ja) im Abschnitt Verschlüsselung aktivieren in der Neptune-Konsole aus. Informationen zum Erstellen einer Neptune-DB-Instance finden Sie unter Einen Amazon Neptune Neptune-Cluster erstellen.

Wenn Sie eine verschlüsselte Neptune-DB-Instance erstellen, können Sie auch die AWS KMS Schlüssel-ID für Ihren Verschlüsselungsschlüssel angeben. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Neptune Ihren standardmäßigen Amazon RDS-Verschlüsselungsschlüssel (aws/rds) für Ihre neue Neptune-DB-Instance. AWS KMS erstellt Ihren Standard-Verschlüsselungsschlüssel für Neptune für Ihr AWS Konto. Ihr AWS Konto hat für jede AWS Region einen anderen Standard-Verschlüsselungsschlüssel.

Nach dem Erstellen einer verschlüsselten Neptune-DB-Instance können Sie den Verschlüsselungsschlüssel für diese Instance nicht mehr ändern. Sie müssen daher die Anforderungen für Ihren Verschlüsselungsschlüssel definieren, bevor Sie Ihre verschlüsselte Neptune-DB-Instance erstellen.

Sie können den Amazon-Ressourcennamen (ARN) eines Schlüssels aus einem anderen Konto verwenden, um eine Neptune-DB-Instance zu verschlüsseln. Wenn Sie eine Neptune-DB-Instance mit demselben AWS Konto erstellen, dem der AWS KMS Verschlüsselungsschlüssel gehört, der zum Verschlüsseln dieser neuen Neptune-DB-Instance verwendet wird, kann die AWS KMS Schlüssel-ID, die Sie übergeben, der Schlüsselalias und nicht der ARN des AWS KMS Schlüssels sein.

Wichtig

Wenn Neptune keinen Zugriff auf den Verschlüsselungsschlüssel einer Neptune-DB-Instance mehr hat (wenn z. B. der Neptune-Zugriff auf einen Schlüssel widerrufen wird), wird die verschlüsselte DB-Instance auf den Beendigungsstatus festgelegt und kann nur noch aus einer Sicherung wiederhergestellt werden. Wir empfehlen nachdrücklich, stets Sicherungen für verschlüsselte Neptune-DB-Instances aktiviertzu lassen, um sich vor dem Verlust verschlüsselter Daten in Ihren Datenbanken zu schützen.

Wichtige Berechtigungen für die Aktivierung der Verschlüsselung

Der IAM-Benutzer oder die IAM-Rolle, der/die eine verschlüsselte Neptune-DB-Instance erstellt, muss mindestens über die folgenden Berechtigungen für den KMS-Schlüssel verfügen:

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:GenerateDataKey"

  • "kms:ReEncryptTo"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:CreateGrant"

  • "kms:ReEncryptFrom"

  • "kms:DescribeKey"

Dies ist ein Beispiel für eine Schlüsselrichtlinie mit den notwendigen Berechtigungen:

{
  "Version": "2012-10-17",
  "Id": "key-consolepolicy-3",
  "Statement": [
    {
      "Sid": "Enable Permissions for root principal",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key for Neptune",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptTo",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:CreateGrant",
        "kms:ReEncryptFrom",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Deny use of the key for non Neptune",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

  • Die erste Anweisung in dieser Richtlinie ist optional. Sie gewährt Zugriff auf den Root-Prinzipal des Benutzers.

  • Die zweite Anweisung bietet Zugriff auf alle AWS KMS APIs für diese Rolle erforderlichen Funktionen, die auf den RDS Service Principal beschränkt sind.

  • Mit der dritten Anweisung wird die Sicherheit weiter verschärft, indem sie erzwingt, dass dieser Schlüssel von dieser Rolle für keinen anderen Dienst verwendet werden kann. AWS

Sie könnten die createGrant-Berechtigungen weiter einschränken, indem Sie Folgendes hinzufügen:

"Condition": {
  "Bool": {
    "kms:GrantIsForAWSResource": true
  }
}

Einschränkungen der Neptune-Verschlüsselung

Die folgenden Einschränkungen gelten für verschlüsselte Neptune-Cluster:

  • Sie können unverschlüsselte DB-Cluster nicht in verschlüsselte DB-Cluster konvertieren.

    Sie können jedoch einen unverschlüsselten DB-Cluster-Snapshot als verschlüsselten DB-Cluster wiederherstellen. Geben Sie dazu einen KMS-Verschlüsselungsschlüssel an, wenn Sie aus einem unverschlüsselten DB-Cluster-Snapshot wiederherstellen.

  • Sie können unverschlüsselte DB-Instances nicht in verschlüsselte DB-Instances konvertieren. Sie können die Verschlüsselung für eine DB-Instance nur während der Erstellung aktivieren.

  • Verschlüsselte DB-Instances können so nicht geändert werden, dass die Verschlüsselung deaktiviert wird.

  • Es ist nicht möglich, eine verschlüsselte Read Replica einer unverschlüsselten DB-Instance oder eine unverschlüsselte Read Replica einer verschlüsselten DB-Instance zu erstellen.

  • Verschlüsselte Read Replicas müssen mit demselben Schlüssel verschlüsselt sein wie die Quell-DB-Instance.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.