Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon QLDB
Die QLDB-Verschlüsselung im Ruhezustand verschlüsselt Ihre Daten mit dem 256-Bit-Advanced Encryption Standard (AES-256). Dies trägt dazu bei, Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher zu schützen. Alle in QLDB-Ledgern gespeicherten Daten werden standardmäßig im Ruhezustand verschlüsselt. Die serverseitige Verschlüsselung ist transparent, was bedeutet, dass keine Änderungen an Anwendungen erforderlich sind.
Encryption at Rest ist in AWS Key Management Service (AWS KMS) integriert, um den Verschlüsselungsschlüssel zu verwalten, der zum Schutz Ihrer QLDB-Ledger verwendet wird. Wenn Sie ein neues Ledger erstellen oder ein vorhandenes Ledger aktualisieren, können Sie einen der folgenden Schlüsseltypen wählen: AWS KMS
-
AWS-eigener Schlüssel— Der Standardverschlüsselungstyp. Der Schlüssel gehört QLDB (ohne zusätzliche Kosten).
-
Vom Kunden verwalteter Schlüssel — Der Schlüssel wird in Ihrem gespeichert AWS-Konto und wird von Ihnen erstellt, gehört und verwaltet. Sie haben die volle Kontrolle über den Schlüssel (es AWS KMS fallen Gebühren an).
Themen
AWS-eigener Schlüssel
AWS-eigene Schlüssel sind nicht in Ihrem gespeichert AWS-Konto. Sie sind Teil einer Sammlung von KMS-Schlüsseln, die mehrere AWS besitzen und verwalten, sodass sie in mehreren Fällen verwendet AWS-Konten werden können. AWS-Services kann AWS-eigene Schlüssel zum Schutz Ihrer Daten verwendet werden.
Sie müssen nichts erstellen oder verwalten AWS-eigene Schlüssel. Sie können ihre Verwendung jedoch nicht einsehen AWS-eigene Schlüssel, nachverfolgen oder überprüfen. Ihnen wird weder eine monatliche Gebühr noch eine Nutzungsgebühr berechnet AWS-eigene Schlüssel, und sie werden auch nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet.
Weitere Informationen finden Sie unter AWS-eigene Schlüssel im AWS Key Management Service -Entwicklerhandbuch.
Kundenverwalteter Schlüssel
Kundenverwaltete Schlüssel sind KMS-Schlüssel in Ihrem AWS-Konto System, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel. QLDB unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung.
Verwenden Sie einen kundenverwalteten KMS-Schlüssel, um die folgenden Funktionen zu erhalten:
-
Festlegung und Pflege von Schlüsselrichtlinien, IAM-Richtlinien und Zugriffen zur Steuerung des Zugriffs auf den Schlüssel
-
Den Schlüssel aktivieren und deaktivieren
-
Rotierendes kryptografisches Material für den Schlüssel
-
Schlüssel-Tags und Aliase erstellen
-
Planung der Löschung des Schlüssels
-
Importieren Sie Ihr eigenes Schlüsselmaterial oder verwenden Sie einen benutzerdefinierten Schlüsselspeicher, den Sie besitzen und verwalten
-
Verwendung von AWS CloudTrail Amazon CloudWatch Logs zur Nachverfolgung der Anfragen, an die QLDB in AWS KMS Ihrem Namen sendet
Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.
Für vom Kunden verwaltete Schlüssel fallen Gebühren
Wenn Sie einen vom Kunden verwalteten Schlüssel als KMS-Schlüssel für ein Ledger angeben, werden alle Ledger-Daten sowohl im Journalspeicher als auch im indexierten Speicher mit demselben vom Kunden verwalteten Schlüssel geschützt.
Auf vom Kunden verwaltete Schlüssel kann nicht zugegriffen werden
Wenn Sie Ihren vom Kunden verwalteten Schlüssel deaktivieren, die Löschung des Schlüssels planen oder die Zuweisungen für den Schlüssel widerrufen, wird der Status Ihrer Ledger-Verschlüsselung geändert. KMS_KEY_INACCESSIBLE In diesem Zustand ist das Ledger beeinträchtigt und akzeptiert keine Lese- oder Schreibanforderungen. Ein unzugänglicher Schlüssel verhindert, dass alle Benutzer und der QLDB-Dienst Daten ver- oder entschlüsseln und Lese- und Schreibvorgänge im Ledger ausführen. QLDB muss Zugriff auf Ihren KMS-Schlüssel haben, um sicherzustellen, dass Sie weiterhin auf Ihr Ledger zugreifen können, und um Datenverlust zu verhindern.
Wichtig
Ein beeinträchtigtes Ledger kehrt automatisch in den aktiven Zustand zurück, nachdem Sie die Grants für den Schlüssel wiederhergestellt haben oder nachdem Sie den deaktivierten Schlüssel wieder aktiviert haben.
Das Löschen eines vom Kunden verwalteten Schlüssels ist jedoch irreversibel. Nach dem Löschen eines Schlüssels können Sie nicht mehr auf die Ledger zugreifen, die mit diesem Schlüssel geschützt sind, und die Daten können nicht mehr dauerhaft wiederhergestellt werden.
Um den Verschlüsselungsstatus eines Ledgers zu überprüfen, verwenden Sie die AWS Management Console API-Operation oder. DescribeLedger
So verwendet Amazon QLDB Zuschüsse in AWS KMS
QLDB benötigt Zuschüsse, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können. Wenn Sie ein Hauptbuch erstellen, das mit einem vom Kunden verwalteten Schlüssel geschützt ist, erstellt QLDB Zuschüsse in Ihrem Namen, indem es Anfragen an sendet CreateGrant. AWS KMS Grants in AWS KMS werden verwendet, um QLDB Zugriff auf einen KMS-Schlüssel in einem Kunden zu gewähren. AWS-Konto Weitere Informationen finden Sie unter Verwenden von Erteilungen im AWS Key Management Service -Entwicklerhandbuch.
QLDB benötigt die Grants, um Ihren vom Kunden verwalteten Schlüssel für die folgenden AWS KMS Operationen zu verwenden:
-
DescribeKey— Stellen Sie sicher, dass der angegebene KMS-Schlüssel für die symmetrische Verschlüsselung gültig ist.
-
GenerateDataKey— Generieren Sie einen eindeutigen symmetrischen Datenschlüssel, den QLDB verwendet, um ruhende Daten in Ihrem Ledger zu verschlüsseln.
-
Entschlüsseln — Entschlüsseln Sie den Datenschlüssel, der mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurde.
-
Verschlüsseln — Verschlüsseln Sie Klartext mit Ihrem vom Kunden verwalteten Schlüssel in Chiffretext.
Sie können eine Genehmigung zum Entzug des Zugriffs des Dienstes auf den vom Kunden verwalteten Schlüssel jederzeit widerrufen. Wenn Sie dies tun, kann nicht mehr auf den Schlüssel zugegriffen werden, und QLDB verliert den Zugriff auf alle Ledger-Daten, die durch den vom Kunden verwalteten Schlüssel geschützt sind. In diesem Zustand ist das Ledger beeinträchtigt und akzeptiert keine Lese- oder Schreibanforderungen, bis Sie die Grants auf dem Schlüssel wiederhergestellt haben.
Zuschüsse wiederherstellen in AWS KMS
Um Zuschüsse für einen vom Kunden verwalteten Schlüssel wiederherzustellen und den Zugriff auf ein Ledger in QLDB wiederherzustellen, können Sie das Ledger aktualisieren und denselben KMS-Schlüssel angeben. Detaillierte Anweisungen finden Sie unter Aktualisierung AWS KMS key eines vorhandenen Ledgers.
Überlegungen zur Verschlüsselung im Ruhezustand
Beachten Sie Folgendes, wenn Sie Encryption at Rest in QLDB verwenden:
-
Die serverseitige Verschlüsselung im Ruhezustand ist standardmäßig für alle QLDB-Ledger-Daten aktiviert und kann nicht deaktiviert werden. Sie können nicht nur eine Teilmenge der Daten in einem Ledger verschlüsseln.
-
Die Verschlüsselung ruhender Daten verschlüsselt Daten nur, während sie auf persistenten Speichermedien statisch (ruhende Daten) sind. Wenn die Datensicherheit bei der Übertragung oder bei der Verwendung von Daten ein Problem darstellt, müssen Sie möglicherweise zusätzliche Maßnahmen wie folgt ergreifen:
-
Daten während der Übertragung: Alle Ihre Daten in QLDB werden bei der Übertragung verschlüsselt. Standardmäßig wird für die Kommunikation zu und von QLDB das HTTPS-Protokoll verwendet, das den Netzwerkverkehr mithilfe von Secure Sockets Layer (SSL) /Transport Layer Security (TLS) -Verschlüsselung schützt.
-
Verwendete Daten: Schützen Sie Ihre Daten, bevor Sie sie an QLDB senden, indem Sie clientseitige Verschlüsselung verwenden.
-
Weitere Informationen zur Implementierung von kundenverwalteten Schlüsseln für Ledger finden Sie unter. Verwenden von kundenverwalteten Schlüsseln in Amazon QLDB
