Mengenkripsi sumber daya Amazon RDS Aurora - Amazon Aurora
Ikhtisar enkripsi sumber daya Amazon AuroraMengenkripsi klaster DB Amazon AuroraMenentukan apakah enkripsi untuk klaster DB diaktifkanKetersediaan Amazon AuroraEnkripsi bergerak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi sumber daya Amazon RDS Aurora

Aurora Data yang dienkripsi saat diam termasuk penyimpanan dasar untuk klaster DB, pencadangan otomatisnya, replika baca, dan snapshot.

Setelah data Anda dienkripsi, Amazon Aurora menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu memodifikasi aplikasi klien basis data untuk menggunakan enkripsi.

catatan

Untuk cluster DB terenkripsi dan tidak terenkripsi, data yang sedang transit antara sumber dan replika baca dienkripsi, bahkan saat mereplikasi di seluruh Wilayah. AWS

Ikhtisar enkripsi sumber daya Amazon Aurora

Klaster DB terenkripsi Amazon Aurora menyediakan lapisan perlindungan data tambahan dengan mengamankan data Anda dari akses tidak sah ke penyimpanan dasar. Anda dapat menggunakan enkripsi Amazon Aurora untuk meningkatkan perlindungan data aplikasi Anda yang di-deploy di cloud, dan untuk memenuhi persyaratan kepatuhan enkripsi diam.

Untuk klaster DB terenkripsi Amazon Aurora, semua instans DB, log, cadangan, dan snapshot dienkripsi. Anda juga dapat mengenkripsi replika baca klaster terenkripsi Amazon Aurora. Amazon Aurora menggunakan AWS Key Management Service kunci untuk mengenkripsi sumber daya ini. Untuk informasi selengkapnya tentang KMS kunci, lihat AWS KMS keysdi Panduan AWS Key Management Service Pengembang danAWS KMS key pengelolaan. Setiap instans DB di cluster DB dienkripsi menggunakan KMS kunci yang sama dengan cluster DB. Jika Anda menyalin snapshot terenkripsi, Anda dapat menggunakan KMS kunci yang berbeda untuk mengenkripsi snapshot target daripada yang digunakan untuk mengenkripsi snapshot sumber.

Anda dapat menggunakan Kunci yang dikelola AWS, atau Anda dapat membuat kunci yang dikelola pelanggan. Untuk mengelola kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi dan mendekripsi sumber daya Amazon Aurora Anda, gunakan fitur AWS Key Management Service (AWS KMS). AWS KMS menggabungkan perangkat keras dan perangkat lunak yang aman dengan ketersediaan tinggi untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Dengan menggunakan AWS KMS, Anda dapat membuat kunci terkelola pelanggan dan menentukan kebijakan yang mengontrol bagaimana kunci yang dikelola pelanggan ini dapat digunakan. AWS KMS mendukung CloudTrail, sehingga Anda dapat mengaudit penggunaan KMS kunci untuk memverifikasi bahwa kunci yang dikelola pelanggan digunakan dengan tepat. Anda dapat menggunakan kunci yang dikelola pelanggan dengan Amazon Aurora dan AWS layanan yang didukung seperti Amazon S3, Amazon, dan EBS Amazon Redshift. Untuk daftar layanan yang terintegrasi dengannya AWS KMS, lihat Integrasi AWS Layanan.

Mengenkripsi klaster DB Amazon Aurora

Untuk mengenkripsi klaster DB baru, pilih Aktifkan enkripsi di konsol. Untuk informasi tentang pembuatan klaster DB, lihat Membuat klaster DB Amazon Aurora.

Jika Anda menggunakan create-db-cluster AWS CLI perintah untuk membuat cluster DB terenkripsi, atur parameternya. --storage-encrypted Jika Anda menggunakan reateDBCluster API operasi C, atur StorageEncrypted parameter ke true.

Saat membuat cluster DB terenkripsi, Anda dapat memilih kunci yang dikelola pelanggan atau Amazon Aurora Kunci yang dikelola AWS untuk mengenkripsi cluster DB Anda. Jika Anda tidak menentukan pengidentifikasi kunci untuk kunci yang dikelola pelanggan, Amazon Aurora menggunakan Kunci yang dikelola AWS untuk klaster DB baru Anda. Amazon Aurora membuat untuk Amazon Aurora Kunci yang dikelola AWS untuk akun Anda. AWS AWS Akun Anda memiliki perbedaan Kunci yang dikelola AWS untuk Amazon Aurora untuk setiap AWS Wilayah.

Untuk informasi selengkapnya tentang KMS kunci, lihat AWS KMS keysdi Panduan AWS Key Management Service Pengembang.

Setelah Anda membuat cluster DB terenkripsi, Anda tidak dapat mengubah KMS kunci yang digunakan oleh cluster DB itu. Oleh karena itu, pastikan untuk menentukan persyaratan KMS utama Anda sebelum membuat cluster DB terenkripsi Anda.

Jika Anda menggunakan AWS CLI create-db-cluster perintah untuk membuat cluster DB terenkripsi dengan kunci yang dikelola pelanggan, setel --kms-key-id parameter ke pengidentifikasi kunci apa pun untuk kunci tersebut. KMS Jika Anda menggunakan RDS API CreateDBInstance operasi Amazon, atur KmsKeyId parameter ke pengenal kunci apa pun untuk KMS kunci tersebut. Untuk menggunakan kunci yang dikelola pelanggan di AWS akun yang berbeda, tentukan kunci ARN atau aliasARN.

penting

Amazon Aurora dapat kehilangan akses ke KMS kunci untuk cluster DB saat Anda menonaktifkan kunci. KMS Dalam kasus ini, cluster DB terenkripsi segera masuk ke inaccessible-encryption-credentials-recoverable status. Cluster DB tetap dalam keadaan ini selama tujuh hari, di mana instance dihentikan. APIpanggilan yang dilakukan ke cluster DB selama waktu ini mungkin tidak berhasil. Untuk memulihkan cluster DB, aktifkan KMS kunci dan restart cluster DB ini. Aktifkan KMS kunci dari AWS Management Console. Mulai ulang cluster DB menggunakan AWS CLI perintah start-db-clusteratau AWS Management Console.

Jika cluster DB tidak dipulihkan dalam waktu tujuh hari, ia masuk ke inaccessible-encryption-credentials status terminal. Dalam keadaan ini, cluster DB tidak dapat digunakan lagi dan Anda hanya dapat memulihkan cluster DB dari cadangan. Kami sangat menyarankan agar Anda selalu mengaktifkan cadangan untuk cluster DB terenkripsi untuk mencegah hilangnya data terenkripsi dalam database Anda.

Selama pembuatan cluster DB, Aurora memeriksa apakah prinsipal panggilan memiliki akses ke KMS kunci dan menghasilkan hibah dari KMS kunci yang digunakannya untuk seluruh masa pakai cluster DB. Mencabut akses prinsipal panggilan ke KMS kunci tidak memengaruhi database yang sedang berjalan. Saat menggunakan KMS kunci dalam skenario lintas akun, seperti menyalin snapshot ke akun lain, KMS kunci harus dibagikan dengan akun lain. Jika Anda membuat cluster DB dari snapshot tanpa menentukan KMS kunci yang berbeda, cluster baru menggunakan KMS kunci dari akun sumber. Mencabut akses ke kunci setelah Anda membuat cluster DB tidak mempengaruhi cluster. Namun, menonaktifkan kunci berdampak pada semua cluster DB yang dienkripsi dengan kunci itu. Untuk mencegah hal ini, tentukan kunci yang berbeda selama operasi penyalinan snapshot.

Menentukan apakah enkripsi untuk klaster DB diaktifkan

Anda dapat menggunakan AWS Management Console, AWS CLI, atau RDS API untuk menentukan apakah enkripsi saat istirahat diaktifkan untuk cluster DB.

Untuk menentukan apakah enkripsi diam untuk klaster DB diaktifkan

  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Basis Data.

  3. Pilih nama klaster DB yang ingin Anda periksa untuk melihat detailnya.

  4. Pilih tab Konfigurasi dan periksa nilai Enkripsi.

    Akan muncul Diaktifkan atau Tidak diaktifkan.

    Memeriksa enkripsi diam untuk klaster DB

Untuk menentukan apakah enkripsi saat istirahat diaktifkan untuk cluster DB dengan menggunakan AWS CLI, panggil describe-db-clustersperintah dengan opsi berikut:

  • --db-cluster-identifier – Nama klaster DB.

Contoh berikut ini menggunakan kueri untuk mengembalikan TRUE atau FALSE mengenai enkripsi diam untuk klaster DB mydb.

contoh 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Untuk menentukan apakah enkripsi saat istirahat diaktifkan untuk cluster DB dengan menggunakan Amazon RDSAPI, panggil escribeDBClusters operasi D dengan parameter berikut:

  • DBClusterIdentifier – Nama klaster DB.

Ketersediaan Amazon Aurora

Enkripsi Aurora Amazon saat ini tersedia untuk semua mesin database dan jenis penyimpanan Edition.

catatan

Enkripsi Amazon Aurora tidak tersedia untuk kelas instans DB db.t2.micro.

Enkripsi bergerak

AWS menyediakan konektivitas aman dan pribadi antara instans DB dari semua jenis. Selain itu, beberapa tipe instans menggunakan kemampuan offload dari perangkat keras Nitro System yang mendasarinya untuk secara otomatis mengenkripsi lalu lintas dalam transit antar instans. Enkripsi ini menggunakan Authenticated Encryption with Associated Data (AEAD) algoritma, dengan enkripsi 256-bit. Tidak ada dampak terhadap performa jaringan. Untuk mendukung enkripsi lalu lintas dalam transit tambahan ini antara instans, persyaratan-persyaratan berikut harus dipenuhi:

  • Instans-instans tersebut menggunakan tipe instans berikut:

    • Tujuan umum: M6i, M6iD, M6in, M6idn, M7g

    • Memori yang dioptimalkan: R6i, R6id, R6in, R6idn, R7g, X2idn, X2IEDN, X2IEZN

  • Contohnya sama Wilayah AWS.

  • Contohnya sama VPC atau diintipVPCs, dan lalu lintas tidak melewati perangkat atau layanan jaringan virtual, seperti penyeimbang beban atau gateway transit.

  • Anda tidak dapat menonaktifkan enkripsi pada klaster DB terenkripsi.

  • Anda tidak dapat membuat snapshot terenkripsi dari klaster DB yang tidak terenkripsi.

  • Anda tidak dapat mengonversi klaster DB tidak terenkripsi ke klaster terenkripsi. Namun, Anda dapat memulihkan snapshot tidak terenkripsi ke klaster DB Aurora terenkripsi. Untuk melakukan ini, tentukan KMS kunci saat Anda memulihkan dari snapshot yang tidak terenkripsi.

  • Anda tidak dapat membuat Aurora Replica terenkripsi dari klaster DB Aurora tidak terenkripsi. Anda tidak dapat membuat Aurora Replica tidak terenkripsi dari klaster DB Aurora terenkripsi.

  • Untuk menyalin snapshot terenkripsi dari satu AWS Wilayah ke wilayah lain, Anda harus menentukan KMS kunci di wilayah tujuan. AWS Ini karena KMS kunci khusus untuk AWS Wilayah tempat mereka dibuat.

    Snapshot sumber tetap terenkripsi selama proses penyalinan. Aurora menggunakan enkripsi amplop untuk melindungi data selama proses penyalinan. Untuk informasi selengkapnya tentang enkripsi amplop, lihat Enkripsi amplop di Panduan Developer AWS Key Management Service .

  • Anda tidak dapat membatalkan enkripsi klaster DB terenkripsi. Namun, Anda dapat mengekspor data dari klaster DB terenkripsi dan mengimpor data ke klaster DB tidak terenkripsi.