Cifrado en reposo: cómo funciona en Amazon QLDB - Base de datos Amazon Quantum Ledger (AmazonQLDB)
Clave propiedad de AWSClave administrada por clientes¿Cómo QLDB utiliza las subvencionesRestablecimiento de concesionesConsideraciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo: cómo funciona en Amazon QLDB

QLDBEl cifrado en reposo cifra los datos mediante el estándar de cifrado avanzado de 256 bits (AES-256). Esto ayuda a proteger los datos del acceso no autorizado al almacenamiento subyacente. De forma predeterminada, todos los datos almacenados en los libros de QLDB contabilidad se cifran en reposo. El cifrado del servidor es transparente, lo que significa que no es necesario realizar cambios en las aplicaciones.

Encryption at rest se integra con AWS Key Management Service (AWS KMS) para gestionar la clave de cifrado que se utiliza para proteger sus libros de QLDB contabilidad. Al crear un libro mayor nuevo o actualizar un libro mayor existente, puede elegir uno de los siguientes tipos de claves AWS KMS :

  • Clave propiedad de AWS: tipo de cifrado predeterminado. La clave es propiedad de QLDB (sin coste adicional).

  • Clave administrada por el cliente: la clave se almacena en su Cuenta de AWS y usted la crea, posee y administra. Usted tiene el control total sobre la llave (de AWS KMS pago).

Clave propiedad de AWS

Claves propiedad de AWS no están almacenados en su Cuenta de AWS. Forman parte de una colección de KMS claves que AWS posee y administra para su uso en múltiples ocasiones Cuentas de AWS. Servicios de AWS se pueden utilizar Claves propiedad de AWS para proteger sus datos.

No es necesario crear ni administrar las Claves propiedad de AWS. Sin embargo, no puede ver Claves propiedad de AWS, rastrear ni auditar su uso. No se te cobra una cuota mensual ni una cuota de uso Claves propiedad de AWS, y estas no se tienen en cuenta para las AWS KMS cuotas de tu cuenta.

Para obtener más información, consulte Claves propiedad de AWS en la Guía para desarrolladores de AWS Key Management Service .

Clave administrada por clientes

Las claves administradas por el cliente son KMS claves Cuenta de AWS tuyas que tú creas, posees y administras. Usted tiene el control total sobre estas KMS claves. QLDBsolo admite KMS claves de cifrado simétricas.

Utilice una clave administrada por el cliente para obtener las siguientes características:

  • Establecer y mantener políticas, IAM políticas y concesiones clave para controlar el acceso a la clave

  • Activar y desactivar la clave

  • Rotar el material criptográfico para la clave

  • Crear etiquetas clave y alias

  • Programar la clave para eliminarla

  • Importar su propio material de claves o usar un almacén de claves personalizadas de su propiedad y que administra

  • Uso AWS CloudTrail de Amazon CloudWatch Logs para rastrear las solicitudes que se QLDB envían AWS KMS en tu nombre

Para más información, consulte las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service .

Las claves administradas por el cliente conllevan un cargo por cada API llamada y se aplican AWS KMS cuotas a estas KMS claves. Para obtener más información, consulte cuotas de solicitudes o de recursos de AWS KMS.

Al especificar una clave gestionada por el cliente como clave de un libro mayor, todos los datos del libro mayor, tanto en el registro diario como en el almacenamiento indexado, se protegen con la misma KMS clave gestionada por el cliente.

Claves administradas por el cliente inaccesibles

Si desactiva la clave administrada por el cliente, programa su eliminación o revoca las concesiones de la clave, el estado del cifrado de su libro mayor pasa a ser KMS_KEY_INACCESSIBLE. En este estado, el libro mayor está dañado y no acepta solicitudes de lectura o escritura. Una clave inaccesible impide que todos los usuarios y el QLDB servicio cifren o descifren los datos y realicen operaciones de lectura y escritura en el libro mayor. QLDBdebe tener acceso a su KMS clave para garantizar que pueda seguir accediendo a su libro mayor y evitar la pérdida de datos.

importante

Un libro mayor dañado vuelve automáticamente a su estado activo después de restablecer las concesiones de la clave o de volver a activar la clave que estaba desactivada.

Sin embargo, eliminar una clave administrada por el cliente es irreversible. Una vez que se elimina una clave, ya no puede acceder a los libros mayores que están protegidos con ella y los datos se vuelven irrecuperables permanentemente.

Para comprobar el estado de cifrado de un libro mayor, utilice la operación AWS Management Console o. DescribeLedgerAPI

Cómo QLDB utiliza Amazon las subvenciones en AWS KMS

QLDBrequiere que las subvenciones utilicen la clave gestionada por el cliente. Cuando creas un libro mayor protegido con una clave gestionada por el cliente, QLDB crea concesiones en tu nombre enviando CreateGrantsolicitudes a AWS KMS. Las concesiones AWS KMS se utilizan para dar QLDB acceso a una KMS clave de un cliente Cuenta de AWS. Para obtener más información, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service .

QLDBexige que las concesiones utilicen la clave gestionada por el cliente para las siguientes AWS KMS operaciones:

  • DescribeKey— Compruebe que la KMS clave de cifrado simétrica especificada sea válida.

  • GenerateDataKey— Genere una clave de datos simétrica única que se QLDB utilice para cifrar los datos almacenados en su libro mayor.

  • Decrypt: descifra los datos cifrados con la clave administrada por el cliente.

  • Encrypt: cifra el texto sin formato como texto cifrado con la clave administrada por el cliente.

Puede revocar la concesión para eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, no podrá acceder a la clave y QLDB perderá el acceso a cualquiera de los datos del libro mayor protegidos por la clave gestionada por el cliente. En este estado, el libro mayor está dañado y no acepta solicitudes de lectura o escritura hasta que restablezca las concesiones de la clave.

Restablecer las concesiones en AWS KMS

Para restablecer las concesiones de una clave gestionada por el cliente y recuperar el acceso a un libro mayorQLDB, puede actualizar el libro mayor y especificar la misma clave. KMS Para obtener instrucciones, consulte Actualización de la AWS KMS key de un libro mayor existente.

Consideraciones sobre el cifrado en reposo

Tenga en cuenta lo siguiente cuando utilice el cifrado en reposo en: QLDB

  • El cifrado en reposo del lado del servidor está habilitado de forma predeterminada en todos los datos del QLDB libro mayor y no se puede deshabilitar. No puede cifrar solo un subconjunto de elementos de un libro mayor.

  • El cifrado en reposo solo cifra los datos mientras están estáticos (en reposo) en un medio de almacenamiento persistente. Si le preocupa la seguridad de los datos cuando están en tránsito o en uso, puede ser conveniente adoptar medidas adicionales como se muestra a continuación:

    • Datos en tránsito: todos los datos en tránsito QLDB se cifran. De forma predeterminada, las comunicaciones de ida y vuelta QLDB utilizan el HTTPS protocolo, que protege el tráfico de la red mediante el cifrado Secure Sockets Layer (SSL) /Transport Layer Security (TLS).

    • Datos en uso: proteja sus datos antes de enviarlos QLDB mediante el cifrado del lado del cliente.

Para obtener información sobre cómo implementar claves administradas por el cliente en los libros mayores, vaya a Uso de claves gestionadas por el cliente en Amazon QLDB.