Mengenkripsi sumber daya Amazon RDS Amazon - Layanan Basis Data Relasional Amazon
Ikhtisar mengenkripsi sumber daya Amazon RDSMengenkripsi instans DBMenentukan apakah enkripsi untuk instans DB diaktifkanKetersediaan enkripsi Amazon RDSEnkripsi bergerak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi sumber daya Amazon RDS Amazon

Amazon RDS Amazon Data yang dienkripsi saat diam termasuk penyimpanan dasar untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot.

Setelah data Anda dienkripsi, Amazon Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu memodifikasi aplikasi klien basis data untuk menggunakan enkripsi.

catatan

Untuk instans DB terenkripsi dan tidak terenkripsi, data yang sedang transit antara sumber dan replika baca dienkripsi, bahkan saat mereplikasi di seluruh Wilayah. AWS

Ikhtisar mengenkripsi sumber daya Amazon RDS

Instans DB RDS terenkripsi Amazon menyediakan lapisan perlindungan data tambahan dengan mengamankan data Anda dari akses tidak sah ke penyimpanan yang mendasarinya. Anda dapat menggunakan RDS enkripsi Amazon untuk meningkatkan perlindungan data aplikasi yang digunakan di cloud, dan untuk memenuhi persyaratan kepatuhan untuk enkripsi saat istirahat.

Untuk instans DB RDS terenkripsi Amazon, semua log, cadangan, dan snapshot dienkripsi. Amazon RDS menggunakan AWS Key Management Service kunci untuk mengenkripsi sumber daya ini. Untuk informasi selengkapnya tentang KMS kunci, lihat AWS KMS keysdi Panduan AWS Key Management Service Pengembang danAWS KMS key manajemen. Jika Anda menyalin snapshot terenkripsi, Anda dapat menggunakan KMS kunci yang berbeda untuk mengenkripsi snapshot target daripada yang digunakan untuk mengenkripsi snapshot sumber.

Replika baca instance RDS terenkripsi Amazon harus dienkripsi menggunakan KMS kunci yang sama dengan instans DB utama saat keduanya berada di Wilayah yang sama. AWS Jika instans DB utama dan replika baca berada di AWS Wilayah yang berbeda, Anda mengenkripsi replika baca menggunakan KMS kunci untuk Wilayah tersebut. AWS

Anda dapat menggunakan Kunci yang dikelola AWS, atau Anda dapat membuat kunci yang dikelola pelanggan. Untuk mengelola kunci terkelola pelanggan yang digunakan untuk mengenkripsi dan mendekripsi sumber daya RDS Amazon, Anda menggunakan AWS Key Management Service ().AWS KMS AWS KMS menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Dengan menggunakan AWS KMS, Anda dapat membuat kunci terkelola pelanggan dan menentukan kebijakan yang mengontrol bagaimana kunci yang dikelola pelanggan ini dapat digunakan. AWS KMS mendukung CloudTrail, sehingga Anda dapat mengaudit penggunaan KMS kunci untuk memverifikasi bahwa kunci yang dikelola pelanggan digunakan dengan tepat. Anda dapat menggunakan kunci yang dikelola pelanggan dengan Amazon Aurora dan AWS layanan yang didukung seperti Amazon S3, Amazon, dan EBS Amazon Redshift. Untuk daftar layanan yang terintegrasi AWS KMS, lihat Integrasi AWS Layanan.

Amazon RDS juga mendukung enkripsi instans Oracle atau SQL Server DB dengan Transparent Data Encryption (). TDE TDEdapat digunakan dengan RDS enkripsi saat istirahat, meskipun menggunakan TDE dan RDS enkripsi saat istirahat secara bersamaan mungkin sedikit mempengaruhi kinerja database Anda. Anda harus mengelola kunci yang berbeda untuk setiap metode enkripsi. Untuk informasi lebih lanjut tentangTDE, lihat Enkripsi Data Transparan Oracle atauSupport untuk Enkripsi Data Transparan di SQL Server.

Mengenkripsi instans DB

Untuk mengenkripsi instans DB baru, pilih Aktifkan enkripsi di RDS konsol Amazon. Untuk informasi tentang pembuatan instans DB, lihat Membuat instans Amazon RDS DB.

Jika Anda menggunakan create-db-instance AWS CLI perintah untuk membuat instance DB terenkripsi, atur parameternya. --storage-encrypted Jika Anda menggunakan reateDBInstance API operasi C, atur StorageEncrypted parameter ke true.

Saat membuat instans DB terenkripsi, Anda dapat memilih kunci yang dikelola pelanggan atau Kunci yang dikelola AWS Amazon RDS untuk mengenkripsi instans DB Anda. Jika Anda tidak menentukan pengenal kunci untuk kunci yang dikelola pelanggan, Amazon RDS menggunakan instans DB baru Anda. Kunci yang dikelola AWS Amazon RDS membuat Kunci yang dikelola AWS untuk Amazon RDS untuk AWS akun Anda. AWS Akun Anda memiliki perbedaan Kunci yang dikelola AWS untuk Amazon RDS untuk setiap AWS Wilayah.

Untuk informasi selengkapnya tentang KMS kunci, lihat AWS KMS keysdi Panduan AWS Key Management Service Pengembang.

Setelah Anda membuat instans DB terenkripsi, Anda tidak dapat mengubah KMS kunci yang digunakan oleh instans DB itu. Oleh karena itu, pastikan untuk menentukan persyaratan KMS utama Anda sebelum Anda membuat instans DB terenkripsi Anda.

Jika Anda menggunakan AWS CLI create-db-instance perintah untuk membuat instans DB terenkripsi dengan kunci yang dikelola pelanggan, setel --kms-key-id parameter ke pengidentifikasi kunci apa pun untuk kunci tersebut. KMS Jika Anda menggunakan RDS API CreateDBInstance operasi Amazon, atur KmsKeyId parameter ke pengenal kunci apa pun untuk KMS kunci tersebut. Untuk menggunakan kunci yang dikelola pelanggan di AWS akun yang berbeda, tentukan kunci ARN atau aliasARN.

penting

Amazon RDS dapat kehilangan akses ke KMS kunci untuk instans DB saat Anda menonaktifkan KMS kunci. Jika Anda kehilangan akses ke KMS kunci, instans DB terenkripsi masuk ke status. inaccessible-encryption-credentials-recoverable Instans DB tetap dalam keadaan ini selama tujuh hari, di mana instance dihentikan. APIpanggilan yang dilakukan ke instans DB selama waktu ini mungkin tidak berhasil. Untuk memulihkan instans DB, aktifkan KMS kunci dan restart instance DB ini. Aktifkan KMS kunci dari AWS Management Console, AWS CLI, atau RDSAPI. Mulai ulang instance DB menggunakan AWS CLI perintah start-db-instanceatau AWS Management Console.

Jika instans DB tidak dipulihkan dalam waktu tujuh hari, itu masuk ke inaccessible-encryption-credentials status terminal. Dalam keadaan ini, instans DB tidak dapat digunakan lagi dan Anda hanya dapat mengembalikan instans DB dari cadangan. Sebaiknya selalu aktifkan pencadangan instans DB terenkripsi agar data terenkripsi di basis data Anda tidak hilang.

Selama pembuatan instans DB, Amazon RDS memeriksa apakah prinsipal panggilan memiliki akses ke KMS kunci dan menghasilkan hibah dari KMS kunci yang digunakannya selama masa pakai instans DB. Mencabut akses prinsipal panggilan ke KMS kunci tidak memengaruhi database yang sedang berjalan. Saat menggunakan KMS kunci dalam skenario lintas akun, seperti menyalin snapshot ke akun lain, KMS kunci harus dibagikan dengan akun lain. Jika Anda membuat instans DB dari snapshot tanpa menentukan KMS kunci yang berbeda, instance baru menggunakan KMS kunci dari akun sumber. Mencabut akses ke kunci setelah Anda membuat instans DB tidak memengaruhi instance. Namun, menonaktifkan kunci memengaruhi semua instans DB yang dienkripsi dengan kunci itu. Untuk mencegah hal ini, tentukan kunci yang berbeda selama operasi penyalinan snapshot.

Menentukan apakah enkripsi untuk instans DB diaktifkan

Anda dapat menggunakan AWS Management Console, AWS CLI, atau RDS API untuk menentukan apakah enkripsi saat istirahat diaktifkan untuk instans DB.

Untuk menentukan apakah enkripsi diam untuk instans DB diaktifkan

  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Basis Data.

  3. Pilih nama instans DB yang ingin Anda periksa untuk melihat detailnya.

  4. Pilih tab Konfigurasi, dan periksa nilai Enkripsi di bagian Penyimpanan.

    Akan muncul Diaktifkan atau Tidak diaktifkan.

    Memeriksa enkripsi diam untuk instans DB

Untuk menentukan apakah enkripsi saat istirahat diaktifkan untuk instance DB dengan menggunakan AWS CLI, panggil describe-db-instancesperintah dengan opsi berikut:

  • --db-instance-identifier – Nama instans DB.

Contoh berikut ini menggunakan kueri untuk mengembalikan TRUE atau FALSE mengenai enkripsi diam untuk instans DB mydb.

contoh 
aws rds describe-db-instances --db-instance-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Untuk menentukan apakah enkripsi saat istirahat diaktifkan untuk instans DB dengan menggunakan Amazon RDSAPI, panggil escribeDBInstances operasi D dengan parameter berikut:

  • DBInstanceIdentifier – Nama instans DB.

Ketersediaan enkripsi Amazon RDS

Enkripsi RDSAmazon Amazon saat ini tersedia untuk semua mesin database dan jenis penyimpanan, kecuali untuk SQL Server Express Edition. SQL Server Express Edition mendukung enkripsi di AWS GovCloud (US) Wilayah.

RDSEnkripsi Amazon tersedia untuk sebagian besar kelas instans DB. Tabel berikut mencantumkan kelas instans DB yang tidak mendukung RDS enkripsi Amazon:

Jenis instans Kelas instans

Tujuan umum (M1)

db.m1.small

db.m1.medium

db.m1.large

db.m1.xlarge

Memori dioptimalkan (M2)

db.m2.xlarge

db.m2.2xlarge

db.m2.4xlarge

Burstable (T2)

db.t2.micro

Enkripsi bergerak

AWS menyediakan konektivitas aman dan pribadi antara instans DB dari semua jenis. Selain itu, beberapa tipe instans menggunakan kemampuan offload dari perangkat keras Nitro System yang mendasarinya untuk secara otomatis mengenkripsi lalu lintas dalam transit antar instans. Enkripsi ini menggunakan Authenticated Encryption with Associated Data (AEAD) algoritma, dengan enkripsi 256-bit. Tidak ada dampak terhadap performa jaringan. Untuk mendukung enkripsi lalu lintas dalam transit tambahan ini antara instans, persyaratan-persyaratan berikut harus dipenuhi:

  • Instans-instans tersebut menggunakan tipe instans berikut:

    • Tujuan umum: M6i, M6iD, M6in, M6idn, M7g

    • Memori yang dioptimalkan: R6i, R6id, R6in, R6idn, R7g, X2idn, X2IEDN, X2IEZN

  • Contohnya sama Wilayah AWS.

  • Contohnya sama VPC atau diintipVPCs, dan lalu lintas tidak melewati perangkat atau layanan jaringan virtual, seperti penyeimbang beban atau gateway transit.

  • Anda hanya dapat mengenkripsi instans Amazon RDS DB saat Anda membuatnya, bukan setelah instans DB dibuat.

    Namun, karena Anda dapat mengenkripsi salinan snapshot yang tidak dienkripsi, Anda dapat menambahkan enkripsi secara efektif ke instans DB yang tidak terenkripsi. Artinya, Anda dapat membuat snapshot instans DB, lalu membuat salinan terenkripsi dari snapshot tersebut. Anda kemudian dapat memulihkan instans DB dari snapshot terenkripsi untuk menghasilkan salinan terenkripsi dari instans DB asli. Untuk informasi selengkapnya, lihat Menyalin snapshot DB untuk Amazon RDS.

  • Anda tidak dapat menonaktifkan enkripsi pada instans DB terenkripsi.

  • Anda tidak dapat membuat snapshot terenkripsi dari instans DB yang tidak terenkripsi.

  • Anda tidak dapat memiliki replika baca terenkripsi dari instans DB yang tidak dienkripsi atau replika baca yang tidak dienkripsi dari instans DB terenkripsi.

  • Replika baca terenkripsi harus dienkripsi dengan KMS kunci yang sama dengan instans DB sumber ketika keduanya berada di Wilayah yang sama. AWS

  • Anda tidak dapat memulihkan cadangan atau snapshot yang tidak terenkripsi ke instans DB terenkripsi.

  • Untuk menyalin snapshot terenkripsi dari satu AWS Wilayah ke wilayah lain, Anda harus menentukan KMS kunci di wilayah tujuan. AWS Ini karena KMS kunci khusus untuk AWS Wilayah tempat mereka dibuat.

    Snapshot sumber tetap terenkripsi selama proses penyalinan. Amazon RDS Amazon menggunakan enkripsi amplop untuk melindungi data selama proses penyalinan. Untuk informasi selengkapnya tentang enkripsi amplop, lihat Enkripsi amplop di Panduan Developer AWS Key Management Service .

  • Anda tidak dapat membatalkan enkripsi instans DB terenkripsi. Namun, Anda dapat mengekspor data dari instans DB terenkripsi dan mengimpor data ke instans DB tidak terenkripsi.