Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS KMS key pengelolaan
Aurora secara otomatis terintegrasi dengan AWS Key Management Service (AWS KMS) untuk manajemen kunci. Aurora menggunakan enkripsi amplop. Untuk informasi selengkapnya tentang enkripsi amplop, lihat Enkripsi amplop di AWS Key Management Service Panduan Pengembang.
Anda dapat menggunakan dua jenis AWS KMS kunci untuk mengenkripsi cluster DB Anda.
-
Jika Anda ingin kontrol penuh atas KMS kunci, Anda harus membuat kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang kunci terkelola pelanggan, lihat Kunci terkelola pelanggan di AWS Key Management Service Panduan Pengembang.
Anda tidak dapat membagikan snapshot yang telah dienkripsi menggunakan Kunci yang dikelola AWS dari AWS akun yang membagikan snapshot.
-
Kunci yang dikelola AWSadalah KMS kunci di akun Anda yang dibuat, dikelola, dan digunakan atas nama Anda oleh AWS Layanan yang terintegrasi dengan AWS KMS. Secara default, RDS Kunci yang dikelola AWS (
aws/rds) digunakan untuk enkripsi. Anda tidak dapat mengelola, memutar, atau menghapus RDS Kunci yang dikelola AWS. Untuk informasi lebih lanjut tentang Kunci yang dikelola AWS, lihat Kunci yang dikelola AWSdi AWS Key Management Service Panduan Pengembang.
Untuk mengelola KMS kunci yang digunakan untuk cluster DB terenkripsi Amazon Aurora, gunakan AWS Key Management Service
(AWS KMS) di AWS KMS konsol
Mengizinkan penggunaan kunci yang dikelola pelanggan
Ketika Aurora menggunakan kunci yang dikelola pelanggan dalam operasi kriptografi, Aurora bertindak atas nama pengguna yang membuat atau mengubah sumber daya Aurora .
Untuk membuat sumber daya Aurora menggunakan kunci yang dikelola pelanggan, pengguna harus memiliki izin untuk memanggil operasi berikut pada kunci yang dikelola pelanggan:
-
kms:CreateGrant -
kms:DescribeKey
Anda dapat menentukan izin yang diperlukan ini dalam kebijakan utama, atau dalam IAM kebijakan jika kebijakan kunci mengizinkannya.
Tip
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant. Sebagai gantinya, gunakan kunci ViaService kondisi kms: untuk memungkinkan pengguna membuat hibah pada KMS kunci hanya ketika hibah dibuat atas nama pengguna oleh AWS layanan.
Anda dapat membuat IAM kebijakan lebih ketat dengan berbagai cara. Misalnya, jika Anda ingin mengizinkan kunci terkelola pelanggan hanya digunakan untuk permintaan yang berasal dari Aurora, gunakan kunci kondisi kmsViaService : dengan nilainya. rds. Selain itu, Anda dapat menggunakan kunci atau nilai dalam Konteks RDS enkripsi Amazon sebagai syarat untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi.<region>.amazonaws.com
Untuk informasi selengkapnya, lihat Mengizinkan pengguna di akun lain menggunakan KMS kunci di AWS Key Management Service Panduan Pengembang dan Kebijakan Utama di AWS KMS.
Konteks RDS enkripsi Amazon
Ketika Aurora menggunakan KMS kunci Anda, atau ketika Amazon EBS menggunakan KMS kunci atas nama Aurora, layanan menentukan konteks enkripsi. Konteks enkripsi adalah data tambahan yang diautentikasi (AAD) yang AWS KMS digunakan untuk memastikan integritas data. Ketika konteks enkripsi ditentukan untuk operasi enkripsi, layanan harus menentukan konteks enkripsi yang sama untuk operasi dekripsi. Jika tidak, dekripsi akan gagal. Konteks enkripsi juga ditulis untuk Anda AWS CloudTrail
Minimal, Aurora selalu menggunakan ID instans DB untuk konteks enkripsi, seperti pada contoh JSON -format berikut:
{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }
Konteks enkripsi ini dapat membantu Anda mengidentifikasi instans DB tempat KMS kunci Anda digunakan.
Bila KMS kunci Anda digunakan untuk instans DB tertentu dan EBS volume Amazon tertentu, ID instans DB dan ID EBS volume Amazon digunakan untuk konteks enkripsi, seperti pada contoh JSON -format berikut:
{ "aws:rds:dbc-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }
