Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan data di Amazon DocumentDB
[Model tanggung jawab AWS bersama model tanggung](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon DocumentDB (dengan kompatibilitas MongoDB). Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon DocumentDB atau Layanan AWS lainnya menggunakan konsol, API AWS CLI, atau. AWS SDKs Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
**Topics**
+ [Enkripsi tingkat bidang sisi klien](field-level-encryption.md)
+ [Mengenkripsi data saat istirahat](encryption-at-rest.md)
+ [Mengenkripsi data dalam perjalanan](security.encryption.ssl.md)
+ [Manajemen kunci](security.encryption.ssl.public-key.md)
# Enkripsi tingkat bidang sisi klien
Amazon DocumentDB client-side field level encryption (FLE) memungkinkan Anda mengenkripsi data sensitif dalam aplikasi klien Anda sebelum ditransfer ke cluster Amazon DocumentDB. Data sensitif tetap dienkripsi ketika disimpan dan diproses dalam cluster dan didekripsi pada aplikasi klien ketika diambil.
**Topics**
+ [Memulai](#fle-getting-started)
+ [Menanyakan di FLE sisi klien](#fle-querying)
+ [Batasan](#fle-limitationa)
## Memulai
Konfigurasi awal FLE sisi klien di Amazon DocumentDB adalah proses empat langkah yang mencakup pembuatan kunci enkripsi, mengaitkan peran ke aplikasi, mengonfigurasi aplikasi, dan mendefinisikan operasi CRUD dengan opsi enkripsi.
**Topics**
+ [Langkah 1: Buat kunci enkripsi](#fle-step-create-key)
+ [Langkah 2: Kaitkan peran dengan aplikasi](#fle-step-associate-role)
+ [Langkah 3: Konfigurasikan aplikasi](#fle-step-config-app)
+ [Langkah 4: Tentukan operasi CRUD](#fle-step-crud-ops)
+ [Contoh: file konfigurasi enkripsi tingkat bidang sisi klien](#fle-config-example)
### Langkah 1: Buat kunci enkripsi
Menggunakan AWS Key Management Service, membuat kunci simetris yang digunakan untuk mengenkripsi dan mendekripsi bidang data sensitif dan memberikan izin penggunaan IAM yang diperlukan. AWS KMS menyimpan Kunci Pelanggan (CK) yang digunakan untuk mengenkripsi Kunci Data (DKs). Kami merekomendasikan untuk menyimpan Kunci Pelanggan di KMS untuk memperkuat postur keamanan Anda. Kunci Data adalah kunci sekunder yang disimpan dalam koleksi Amazon DocumentDB dan diperlukan untuk mengenkripsi bidang sensitif sebelum menyimpan dokumen di Amazon DocumentDB. Kunci Pelanggan mengenkripsi Kunci Data yang pada gilirannya mengenkripsi dan mendekripsi data Anda. Jika Anda menggunakan klaster global, Anda dapat membuat kunci multi-wilayah yang dapat digunakan oleh peran layanan yang berbeda di berbagai wilayah.
Untuk informasi selengkapnya tentang AWS Key Management Service, termasuk cara membuat kunci, lihat [Panduan Pengembang Layanan Manajemen AWS Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
### Langkah 2: Kaitkan peran dengan aplikasi
Buat kebijakan IAM dengan AWS KMS izin yang sesuai. Kebijakan ini memungkinkan identitas IAM yang dilampirkan untuk mengenkripsi dan mendekripsi kunci KMS yang ditentukan dalam bidang sumber daya. Aplikasi Anda mengasumsikan peran IAM ini untuk diautentikasi dengan. AWS KMS
Kebijakan harus terlihat mirip dengan ini:
```
{ "Effect": "Allow",
"Action": ["kms:Decrypt", "kms:Encrypt"],
"Resource": "Customer Key ARN"
}
```
### Langkah 3: Konfigurasikan aplikasi
Sekarang Anda menetapkan Kunci Pelanggan AWS KMS dan membuat peran IAM dan memberikannya izin IAM yang tepat untuk mengakses Kunci Pelanggan. Impor paket yang diperlukan.
```
import boto3
import json
import base64
from pymongo import MongoClient
from pymongo.encryption import (Algorithm,
ClientEncryption)
```
```
# create a session object:
my_session = boto3.session.Session()
# get access_key and secret_key programmatically using get_frozen_credentials() method:
current_credentials = my_session.get_credentials().get_frozen_credentials()
```
1. Tentukan 'aws' sebagai jenis penyedia KMS dan masukkan kredenal akun Anda yang diambil pada langkah sebelumnya.
```
provider = "aws"
kms_providers = {
provider: {
"accessKeyId": current_credentials.access_key,
"secretAccessKey": current_credentials.secret_key
}
}
```
1. Tentukan kunci pelanggan yang digunakan untuk mengenkripsi kunci data:
```
customer_key = {
“region”: “AWS region of the customer_key”,
“key”: “customer_key ARN”
}
key_vault_namespace = "encryption.dataKeys"
key_alt_name = 'TEST_DATA_KEY'
```
1. Konfigurasikan MongoClient objek:
```
client = MongoClient(connection_string)
coll = client.test.coll
coll.drop()
client_encryption = ClientEncryption(
kms_providers, # pass in the kms_providers variable from the previous step
key_vault_namespace = key_vault_namespace,
client,
coll.codec_options
)
```
1. Hasilkan Kunci Data Anda:
```
data_key_id = client_encryption.create_data_key(provider,
customer_key,
key_alt_name = [key_alt_name])
```
1. Ambil Kunci Data Anda yang ada:
```
data_key = DataKey("aws",
master_key = customer_key)
key_id = data_key["_id"]
data_key_id = client[key_vault_namespace].find_one({"_id": key_id})
```
### Langkah 4: Tentukan operasi CRUD
Tentukan operasi CRUD dengan opsi enkripsi.
1. Tentukan koleksi ke write/read/delete satu dokumen:
```
coll = client.gameinfo.users
```
1. Enkripsi Eksplisit - mengenkripsi bidang dan menyisipkan:
**catatan**
Tepat salah satu dari “key\$1id” atau “key\$1alt\$1name” harus disediakan.
```
encrypted_first_name = client_encryption.encrypt(
"Jane",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
encrypted_last_name = client_encryption.encrypt(
"Doe",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
encrypted_dob = client_encryption.encrypt(
"1990-01-01",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Random,
key_alt_name=data_key_id
)
coll.insert_one(
{"gamerTag": "jane_doe90",
"firstName": encrypted_first_name,
"lastName": encrypted_last_name,
"dateOfBirth":encrypted_dob,
"Favorite_games":["Halo","Age of Empires 2","Medal of Honor"]
})
```
### Contoh: file konfigurasi enkripsi tingkat bidang sisi klien
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi Anda sendiri.
```
# import python packages:
import boto3
import json
import base64
from pymongo import MongoClient
from pymongo.encryption import (Algorithm,
ClientEncryption)
def main():
# create a session object:
my_session = boto3.session.Session()
# get aws_region from session object:
aws_region = my_session.region_name
# get access_key and secret_key programmatically using get_frozen_credentials() method:
current_credentials = my_session.get_credentials().get_frozen_credentials()
provider = "aws"
# define the kms_providers which is later used to create the Data Key:
kms_providers = {
provider: {
"accessKeyId": current_credentials.access_key,
"secretAccessKey": current_credentials.secret_key
}
}
# enter the kms key ARN. Replace the example ARN value.
kms_arn = "arn:aws:kms:us-east-1:123456789:key/abcd-efgh-ijkl-mnop"
customer_key = {
"region": aws_region,
"key":kms_arn
}
# secrets manager is used to strore and retrieve user credentials for connecting to an Amazon DocumentDB cluster.
# retrieve the secret using the secret name. Replace the example secret key.
secret_name = "/dev/secretKey"
docdb_credentials = json.loads(my_session.client(service_name = 'secretsmanager', region_name = "us-east-1").get_secret_value(SecretId = secret_name)['SecretString'])
connection_params = '/?tls=true&tlsCAFile=global-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false'
conn_str = 'mongodb://' + docdb_credentials["username"] + ':' + docdb_credentials["password"] + '@' + docdb_credentials["host"] + ':' + str(docdb_credentials["port"]) + connection_params
client = MongoClient(conn_str)
coll = client.test.coll
coll.drop()
# store the encryption data keys in a key vault collection (having naming convention as db.collection):
key_vault_namespace = "encryption.dataKeys"
key_vault_db_name, key_vault_coll_name = key_vault_namespace.split(".", 1)
# set up the key vault (key_vault_namespace) for this example:
key_vault = client[key_vault_db_name][key_vault_coll_name]
key_vault.drop()
key_vault.create_index("keyAltNames", unique=True)
client_encryption = ClientEncryption(
kms_providers,
key_vault_namespace,
client,
coll.codec_options)
# create a new data key for the encrypted field:
data_key_id = client_encryption.create_data_key(provider, master_key=customer_key, key_alt_names=["some_key_alt_name"], key_material = None)
# explicitly encrypt a field:
encrypted_first_name = client_encryption.encrypt(
"Jane",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_id=data_key_id
)
coll.insert_one(
{"gamerTag": "jane_doe90",
"firstName": encrypted_first_name
})
doc = coll.find_one()
print('Encrypted document: %s' % (doc,))
# explicitly decrypt the field:
doc["encryptedField"] = client_encryption.decrypt(doc["encryptedField"])
print('Decrypted document: %s' % (doc,))
# cleanup resources:
client_encryption.close()
client.close()
if __name__ == "__main__":
main()
```
## Menanyakan di FLE sisi klien
Amazon DocumentDB mendukung kueri kesetaraan titik dengan FLE sisi klien. Ketidaksetaraan dan kueri perbandingan dapat mengembalikan hasil yang tidak akurat. Operasi baca dan tulis mungkin memiliki perilaku yang tidak terduga atau salah dibandingkan dengan mengeluarkan operasi yang sama terhadap nilai yang didekripsi.
Misalnya, untuk meminta filter untuk dokumen di mana skor gamerlebih besar dari 500:
```
db.users.find( {
"gamerscore" : { $gt : 500 }
})
```
Klien menggunakan metode enkripsi eksplisit untuk mengenkripsi nilai kueri:
```
encrypted_gamerscore_filter = client_encryption.encrypt(
500,
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
db.users.find( {
"gamerscore" : { $gt : encrypted_gamerscore_filter }
} )
```
Dalam operasi find, Amazon DocumentDB membandingkan nilai terenkripsi 500 dengan nilai bidang terenkripsi yang disimpan di setiap dokumen menggunakan pemeriksaan lebih besar dari ketidaksetaraan. Pemeriksaan ketidaksetaraan dalam operasi find dapat mengembalikan hasil yang berbeda ketika dilakukan dengan menggunakan data dan nilai yang didekripsi, meskipun operasi berhasil menghasilkan hasil.
## Batasan
Batasan berikut berlaku untuk enkripsi level bidang sisi klien Amazon DocumentDB:
+ Amazon DocumentDB hanya mendukung kueri kesetaraan titik. Ketidaksetaraan dan kueri perbandingan dapat mengembalikan hasil yang tidak akurat. Operasi baca dan tulis mungkin memiliki perilaku yang tidak terduga atau salah dibandingkan dengan mengeluarkan operasi yang sama terhadap nilai yang didekripsi. Untuk query filter untuk dokumen di mana gamerscore lebih besar dari 500.
```
db.users.find( {
"gamerscore" : { $gt : 500 }
})
```
Klien menggunakan metode enkripsi eksplisit untuk mengenkripsi nilai kueri.
```
encrypted_gamerscore_filter = client_encryption.encrypt(
500,
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
db.users.find({
"gamerscore" : { $gt : encrypted_gamerscore_filter }
})
```
Dalam operasi find, Amazon DocumentDB membandingkan nilai terenkripsi 500 dengan nilai bidang terenkripsi yang disimpan di setiap dokumen menggunakan pemeriksaan lebih besar dari ketidaksetaraan. Pemeriksaan ketidaksetaraan dalam operasi find dapat mengembalikan hasil yang berbeda ketika dilakukan dengan menggunakan data dan nilai yang didekripsi, meskipun operasi berhasil menghasilkan hasil.
+ Amazon DocumentDB tidak mendukung FLE sisi klien eksplisit dari Mongo Shell. Namun, fitur ini berfungsi dengan driver kami yang didukung.
# Mengenkripsi data Amazon DocumentDB saat istirahat
**catatan**
AWS KMS mengganti istilah *customer master key (CMK)* dengan *AWS KMS key*dan kunci *KMS*. Konsepnya tidak berubah. Untuk mencegah perubahan yang melanggar, AWS KMS adalah menjaga beberapa variasi dari istilah ini.
Anda mengenkripsi data at rest di klaster Amazon DocumentDB dengan menentukan opsi enkripsi penyimpanan saat Anda membuat klaster. Enkripsi penyimpanan diaktifkan di seluruh klaster dan diterapkan ke semua instans, termasuk instans primer dan replika apa pun. Hal ini juga diterapkan pada volume penyimpanan, data, indeks, log, backup otomatis, dan snapshot klaster Anda.
Amazon DocumentDB menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256) untuk mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan di (). AWS Key Management Service AWS KMS Saat menggunakan klaster Amazon DocumentDB dengan enkripsi saat istirahat diaktifkan, Anda tidak perlu mengubah logika aplikasi atau koneksi klien Anda. Amazon DocumentDB menangani enkripsi dan dekripsi data Anda secara transparan, dengan dampak minimal terhadap performa.
Amazon DocumentDB terintegrasi AWS KMS dengan dan menggunakan metode yang dikenal sebagai enkripsi amplop untuk melindungi data Anda. [Ketika cluster Amazon DocumentDB dienkripsi dengan, AWS KMS Amazon DocumentDB AWS KMS meminta untuk menggunakan kunci KMS Anda untuk menghasilkan kunci data ciphertext untuk mengenkripsi volume penyimpanan.](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) Kunci data ciphertext dienkripsi menggunakan kunci KMS yang Anda tentukan, dan disimpan bersama dengan data terenkripsi dan metadata penyimpanan. Saat Amazon DocumentDB perlu mengakses data terenkripsi Anda, Amazon DocumentDB AWS KMS meminta untuk mendekripsi kunci data ciphertext menggunakan kunci KMS Anda dan menyimpan kunci data teks biasa di memori untuk mengenkripsi dan mendekripsi data secara efisien dalam volume penyimpanan.
Fasilitas enkripsi penyimpanan di Amazon DocumentDB tersedia untuk semua ukuran instans yang didukung dan di semua tempat Wilayah AWS Amazon DocumentDB tersedia.
## Mengaktifkan enkripsi saat istirahat untuk cluster Amazon DocumentDB
Anda dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat di klaster Amazon DocumentDB saat klaster disediakan menggunakan atau Konsol Manajemen AWS (). AWS Command Line Interface AWS CLI Klaster yang Anda buat menggunakan konsol memiliki enkripsi saat istirahat yang diaktifkan secara default. Cluster yang Anda buat menggunakan enkripsi AWS CLI have at rest dinonaktifkan secara default. Oleh karena itu, Anda harus secara eksplisit mengaktifkan enkripsi saat istirahat menggunakan parameter `--storage-encrypted`. Dalam kedua kasus tersebut, setelah klaster dibuat, Anda tidak dapat mengubah opsi enkripsi saat istirahat.
Amazon DocumentDB AWS KMS menggunakan untuk mengambil dan mengelola kunci enkripsi, dan untuk menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. Jika Anda tidak menentukan pengenal AWS KMS kunci, Amazon DocumentDB menggunakan kunci KMS layanan AWS terkelola default. Amazon DocumentDB membuat kunci KMS terpisah untuk masing-masing di Anda. Wilayah AWS Akun AWS Untuk informasi selengkapnya, lihat[AWS Key Management Service Konsep](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).
Untuk memulai membuat kunci KMS Anda sendiri, lihat [Memulai](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) di *Panduan AWS Key Management Service Pengembang*.
**penting**
Anda harus menggunakan kunci KMS enkripsi simetris untuk mengenkripsi klaster Anda karena Amazon DocumentDB hanya mendukung kunci KMS enkripsi simetris. Jangan gunakan kunci KMS asimetris untuk mencoba mengenkripsi data di cluster Amazon DocumentDB Anda. Untuk informasi selengkapnya, lihat [Kunci asimetris AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) *Panduan AWS Key Management Service Pengembang*.
Jika Amazon DocumentDB tidak bisa lagi mendapatkan akses ke kunci enkripsi untuk sebuah klaster — misalnya, saat akses ke kunci dicabut — klaster terenkripsi masuk ke status terminal. Dalam hal ini, Anda hanya dapat memulihkan klaster dari backup. Untuk Amazon DocumentDB, backup selalu diaktifkan selama 1 hari.
Selain itu, jika Anda menonaktifkan kunci untuk cluster Amazon DocumentDB terenkripsi, Anda pada akhirnya akan kehilangan akses baca dan tulis ke cluster itu. Ketika Amazon DocumentDB menemukan klaster yang dienkripsi dengan kunci yang tidak dapat diaksesnya, klaster akan dimasukkan ke status terminal. Dalam kondisi ini, klaster DB tidak lagi tersedia, dan status basis data saat ini tidak dapat dipulihkan. Untuk memulihkan klaster, Anda harus mengaktifkan kembali akses ke kunci enkripsi untuk Amazon DocumentDB, lalu memulihkan klaster dari backup.
**penting**
Anda tidak dapat mengubah kunci KMS untuk cluster terenkripsi setelah Anda membuatnya. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.
------
#### [ Using the Konsol Manajemen AWS ]
Anda menentukan opsi enkripsi saat istirahat saat membuat klaster. Enkripsi saat istirahat diaktifkan secara default saat Anda membuat klaster menggunakan Konsol Manajemen AWS. Itu tidak dapat diubah setelah klaster dibuat.
**Untuk menentukan opsi enkripsi saat istirahat saat membuat klaster Anda**
1. Buat klaster Amazon DocumentDB seperti yang dijelaskan di bagian [Memulai](https://docs.aws.amazon.com/documentdb/latest/developerguide/connect-ec2.launch-cluster.html). Namun, pada langkah 6, jangan pilih **Buat klaster**.
1. Di bawah bagian **Autentikasi**, pilih **Tampilkan pengaturan lanjutan**.
1. Gulir ke bawah ke ncryption-at-rest bagian **E**.
1. Pilih opsi yang Anda inginkan untuk enkripsi saat istirahat. Opsi mana pun yang Anda pilih, Anda tidak dapat mengubahnya setelah klaster dibuat.
+ Untuk mengenkripsi data at rest di klaster ini, pilih **Aktifkan enkripsi**.
+ Jika Anda tidak ingin mengenkripsi data at rest di klaster ini, pilih **Nonaktifkan enkripsi**.
1. Pilih kunci utama yang Anda inginkan. Amazon DocumentDB menggunakan AWS Key Management Service AWS KMS() untuk mengambil dan mengelola kunci enkripsi, dan untuk menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. Jika Anda tidak menentukan pengenal AWS KMS kunci, Amazon DocumentDB menggunakan kunci KMS layanan AWS terkelola default. Untuk informasi selengkapnya, lihat[AWS Key Management Service Konsep](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).
**catatan**
Setelah Anda membuat cluster terenkripsi, Anda tidak dapat mengubah kunci KMS untuk cluster itu. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.
1. Lengkapi bagian lain yang diperlukan, dan buat klaster Anda.
------
#### [ Using the AWS CLI ]
Untuk mengenkripsi cluster Amazon DocumentDB AWS CLI menggunakan, [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)jalankan perintah dan tentukan opsi. `--storage-encrypted` Cluster Amazon DocumentDB dibuat menggunakan AWS CLI enkripsi jangan aktifkan penyimpanan secara default.
Contoh berikut membuat klaster Amazon DocumentDB dengan enkripsi penyimpanan yang diaktifkan.
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
**Example**
Untuk Linux, macOS, atau Unix:
```
aws docdb create-db-cluster \
--db-cluster-identifier mydocdbcluster \
--port 27017 \
--engine docdb \
--master-username SampleUser1 \
--master-user-password primaryPassword \
--storage-encrypted
```
Untuk Windows:
```
aws docdb create-db-cluster ^
--db-cluster-identifier SampleUser1 ^
--port 27017 ^
--engine docdb ^
--master-username SampleUser1 ^
--master-user-password primaryPassword ^
--storage-encrypted
```
Saat membuat kluster Amazon DocumentDB terenkripsi, Anda dapat menentukan pengenal kunci, seperti pada AWS KMS contoh berikut.
**Example**
Untuk Linux, macOS, atau Unix:
```
aws docdb create-db-cluster \
--db-cluster-identifier SampleUser1 \
--port 27017 \
--engine docdb \
--master-username primaryUsername \
--master-user-password yourPrimaryPassword \
--storage-encrypted \
--kms-key-id key-arn-or-alias
```
Untuk Windows:
```
aws docdb create-db-cluster ^
--db-cluster-identifier SampleUser1 ^
--port 27017 ^
--engine docdb ^
--master-username SampleUser1 ^
--master-user-password primaryPassword ^
--storage-encrypted ^
--kms-key-id key-arn-or-alias
```
**catatan**
Setelah Anda membuat cluster terenkripsi, Anda tidak dapat mengubah kunci KMS untuk cluster itu. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.
------
## Batasan untuk cluster terenkripsi Amazon DocumentDB
Keterbatasan berikut ada untuk klaster terenkripsi Amazon DocumentDB.
+ Anda dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat untuk klaster Amazon DocumentDB hanya pada saat klaster dibuat, bukan setelah klaster telah dibuat. Namun, Anda dapat membuat salinan terenkripsi dari klaster yang tidak terenkripsi dengan membuat snapshot dari klaster yang tidak terenkripsi, lalu memulihkan snapshot yang tidak terenkripsi sebagai klaster baru sambil menentukan opsi enkripsi saat istirahat.
Untuk informasi selengkapnya, lihat topik berikut:
+ [Membuat snapshot cluster manual](backup_restore-create_manual_cluster_snapshot.md)
+ [Memulihkan dari snapshot cluster](backup_restore-restore_from_snapshot.md)
+ [Menyalin snapshot cluster Amazon DocumentDB](backup_restore-copy_cluster_snapshot.md)
+ Klaster Amazon DocumentDB dengan enkripsi penyimpanan yang diaktifkan tidak dapat dimodifikasi untuk menonaktifkan enkripsi.
+ Semua instance, backup otomatis, snapshot, dan indeks dalam cluster Amazon DocumentDB dienkripsi dengan kunci KMS yang sama.
# Mengenkripsi data dalam perjalanan
Anda dapat menggunakan Keamanan Lapisan Pengangkutan (TLS) untuk mengenkripsi koneksi antara aplikasi Anda dan klaster Amazon DocumentDB. Secara default, enkripsi dalam transit diaktifkan untuk klaster Amazon DocumentDB yang baru dibuat. Itu dapat secara opsional dinonaktifkan ketika klaster dibuat, atau di lain waktu. Ketika enkripsi dalam transit diaktifkan, koneksi aman menggunakan TLS diperlukan untuk terhubung ke klaster. Untuk informasi selengkapnya menghubungkan ke Amazon DocumentDB menggunakan TLS, lihat [Menghubungkan secara terprogram ke Amazon DocumentDB](connect_programmatically.md).
## Mengelola pengaturan TLS cluster Amazon DocumentDB
Enkripsi dalam transit untuk klaster Amazon DocumentDB dikelola melalui parameter TLS dalam [grup parameter klaster](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html). Anda dapat mengelola pengaturan TLS cluster Amazon DocumentDB menggunakan atau () Konsol Manajemen AWS . AWS Command Line Interface AWS CLI Lihat bagian berikut untuk mempelajari cara memverifikasi dan memodifikasi pengaturan TLS Anda saat ini.
------
#### [ Using the Konsol Manajemen AWS ]
Ikuti langkah-langkah berikut untuk melakukan tugas manajemen untuk enkripsi TLS menggunakan konsol—seperti mengidentifikasi grup parameter, memverifikasi nilai TLS, dan membuat modifikasi yang diperlukan.
**catatan**
Kecuali jika Anda menentukan secara berbeda saat membuat klaster, klaster Anda dibuat dengan grup parameter klaster default. Parameter dalam grup parameter klaster `default` tidak dapat diubah (misalnya, `tls` diaktifkan/dinonaktifkan). Jadi jika klaster Anda menggunakan grup parameter klaster `default`, Anda perlu memodifikasi klaster untuk menggunakan grup parameter klaster non-default. Pertama, Anda mungkin perlu membuat grup parameter klaster kustom. Untuk informasi selengkapnya, lihat [Membuat grup parameter cluster Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Tentukan grup parameter cluster yang digunakan cluster Anda.**
1. [Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com](https://console.aws.amazon.com/docdb)
1. Di panel navigasi, pilih **Klaster**.
**Tip**
Jika Anda tidak melihat panel navigasi pada sisi kiri layar Anda, pilih ikon menu (![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/id_id/documentdb/latest/developerguide/images/docdb-menu-icon.png)) di sudut kiri atas halaman.
1. Perhatikan bahwa di kotak navigasi **Clusters**, kolom **Cluster Identifier menunjukkan cluster** dan instance. Instans terdaftar di bawah klaster. Lihat tangkapan layar di bawah untuk referensi.
![\[Gambar kotak navigasi Cluster yang menunjukkan daftar tautan cluster yang ada dan tautan instans yang sesuai.\]](http://docs.aws.amazon.com/id_id/documentdb/latest/developerguide/images/clusters.png)
1. Pilih klaster yang Anda minati.
1. Pilih tab **Konfigurasi** dan gulir ke bawah ke bagian bawah **detail Cluster** dan temukan **grup parameter Cluster**. Perhatikan nama grup parameter klaster.
Jika nama grup parameter klaster adalah `default` (misalnya, `default.docdb3.6`), Anda harus membuat grup parameter klaster kustom dan menjadikannya grup parameter klaster sebelum melanjutkan. Untuk informasi selengkapnya, lihat berikut ini:
1. [Membuat grup parameter cluster Amazon DocumentDB](cluster_parameter_groups-create.md) — Jika Anda tidak memiliki grup parameter klaster kustom yang dapat Anda gunakan, buatlah.
1. [Memodifikasi cluster Amazon DocumentDB](db-cluster-modify.md) — Modifikasi klaster Anda untuk menggunakan grup parameter klaster kustom.
1. **Tentukan nilai parameter `tls` cluster saat ini.**
1. [Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com](https://console.aws.amazon.com/docdb)
1. Di panel navigasi, pilih **Grup parameter**.
1. Dalam daftar grup parameter klaster, pilih nama grup parameter klaster yang Anda minati.
1. Temukan bagian **Parameter klaster**. Dalam daftar parameter klaster, temukan baris parameter klaster `tls`. Pada titik ini, empat kolom berikut ini penting:
+ **Nama parameter klaster** — Nama dari parameter klaster. Untuk mengelola TLS, Anda tertarik dengan parameter klaster `tls`.
+ **Nilai** — Nilai saat ini dari setiap parameter klaster.
+ **Nilai yang diizinkan** — Daftar nilai yang dapat diterapkan pada parameter klaster.
+ **Tipe penerapan** — Baik **statis** atau **dinamis**. Perubahan pada parameter klaster statis hanya dapat diterapkan saat instans di-boot ulang. Perubahan pada parameter klaster dinamis hanya dapat diterapkan baik segera atau saat instans di-boot ulang.
1. **Ubah nilai parameter `tls` cluster.**
Jika nilai `tls` tidak sesuai dengan kebutuhan, modifikasi nilainya untuk grup parameter klaster ini. Untuk mengubah nilai parameter klaster `tls`, lanjutkan dari bagian sebelumnya dengan mengikuti langkah-langkah berikut.
1. Pilih tombol di sebelah kiri nama parameter klaster (`tls`).
1. Pilih **Edit**.
1. Untuk mengubah nilai `tls`, di kotak dialog **Modifikasi `tls`**, pilih nilai yang Anda inginkan untuk parameter klaster dalam daftar tarik-turun.
Nilai yang valid adalah:
+ **dinonaktifkan** - Menonaktifkan TLS
+ **diaktifkan** - Mengaktifkan versi TLS 1.0 hingga 1.3.
+ **fips-140-3** - Mengaktifkan TLS dengan FIPS. Cluster hanya menerima koneksi aman sesuai persyaratan publikasi Federal Information Processing Standards (FIPS) 140-3. Ini hanya didukung mulai dengan cluster Amazon DocumentDB 5.0 (versi engine 3.0.3727) di wilayah ini: ca-central-1, us-west-2, us-east-1, us-east-1, us-east-2, us-east-2, -1. us-gov-east us-gov-west
+ **tls1.2\$1** - Mengaktifkan TLS versi 1.2 dan di atas. Ini hanya didukung mulai dengan Amazon DocumentDB 4.0 (versi mesin 2.0.10980) dan Amazon DocumentDB (engine versi 3.0.11051).
+ **tls1.3\$1** - Mengaktifkan TLS versi 1.3 dan di atas. Ini hanya didukung mulai dengan Amazon DocumentDB 4.0 (versi mesin 2.0.10980) dan Amazon DocumentDB (engine versi 3.0.11051).
![\[Gambar kotak dialog Modify TLS khusus cluster.\]](http://docs.aws.amazon.com/id_id/documentdb/latest/developerguide/images/modify-tls.png)
1. Pilih **Modifikasi parameter klaster**. Perubahan diterapkan untuk setiap instans klaster saat di-boot ulang.
1. **Nyalakan ulang instans Amazon DocumentDB.**
Boot ulang setiap instans klaster sehingga perubahan diterapkan ke semua instans di klaster.
1. [Buka konsol Amazon DocumentDB di /docdb. https://console.aws.amazon.com](https://console.aws.amazon.com/docdb)
1. Di panel navigasi, pilih **Instans**.
1. Untuk menentukan instans yang akan di-boot ulang, temukan instans dalam daftar instans, dan pilih tombol di sebelah kiri namanya.
1. Pilih **Tindakan**, dan kemudian **Boot ulang**. Konfirmasikan bahwa Anda ingin melakukan boot ulang dengan memilih **Boot ulang**.
------
#### [ Using the AWS CLI ]
Ikuti langkah-langkah berikut untuk melakukan tugas manajemen untuk enkripsi TLS menggunakan AWS CLI—seperti mengidentifikasi grup parameter, memverifikasi nilai TLS, dan membuat modifikasi yang diperlukan.
**catatan**
Kecuali jika Anda menentukan secara berbeda saat membuat klaster, klaster dibuat dengan grup parameter klaster default. Parameter dalam grup parameter klaster `default` tidak dapat diubah (misalnya, `tls` diaktifkan/dinonaktifkan). Jadi jika klaster Anda menggunakan grup parameter klaster `default`, Anda perlu memodifikasi klaster untuk menggunakan grup parameter klaster non-default. Pertama Anda mungkin perlu membuat grup parameter klaster kustom. Untuk informasi selengkapnya, lihat [Membuat grup parameter cluster Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Tentukan grup parameter cluster yang digunakan cluster Anda.**
Jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)perintah dengan opsi berikut:
+ `--db-cluster-identifier`
+ `--query`
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
Output dari operasi ini terlihat seperti berikut (format JSON):
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
Jika nama grup parameter klaster adalah `default` (misalnya, `default.docdb3.6`), Anda harus memiliki grup parameter klaster kustom dan menjadikannya grup parameter klaster sebelum melanjutkan. Untuk informasi selengkapnya, lihat topik berikut:
1. [Membuat grup parameter cluster Amazon DocumentDB](cluster_parameter_groups-create.md) — Jika Anda tidak memiliki grup parameter klaster kustom yang dapat Anda gunakan, buatlah.
1. [Memodifikasi cluster Amazon DocumentDB](db-cluster-modify.md) — Modifikasi klaster Anda untuk menggunakan grup parameter klaster kustom.
1. **Tentukan nilai parameter `tls` cluster saat ini.**
Untuk mendapatkan informasi lebih lanjut tentang grup parameter cluster ini, jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html)perintah dengan opsi berikut:
+ `--db-cluster-parameter-group-name`
+ `--query`
Membatasi output hanya pada bidang yang diminati:`ParameterName`,`ParameterValue`,`AllowedValues`, dan`ApplyType`.
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
Output dari operasi ini terlihat seperti berikut (format JSON):
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **Ubah nilai parameter `tls` cluster.**
Jika nilai `tls` tidak sesuai dengan kebutuhan, modifikasi nilainya untuk grup parameter klaster ini. Untuk mengubah nilai parameter `tls` cluster, jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html)perintah dengan opsi berikut:
+ `--db-cluster-parameter-group-name` — Diperlukan. Nama grup parameter klaster yang akan dimodifikasi. Ini tidak dapat menjadi grup parameter klaster `default.*`.
+ `--parameters` — Diperlukan. Daftar parameter grup parameter klaster yang akan dimodifikasi.
+ `ParameterName` — Diperlukan. Nama parameter klaster yang akan dimodifikasi.
+ `ParameterValue` — Diperlukan. Nilai baru untuk parameter klaster ini. Harus salah satu dari `AllowedValues` parameter klaster.
+ `enabled`- Cluster menerima koneksi aman menggunakan TLS versi 1.0 hingga 1.3.
+ `disabled` — Klaster tidak menerima koneksi aman menggunakan TLS.
+ `fips-140-3`Cluster hanya menerima koneksi aman sesuai persyaratan publikasi Federal Information Processing Standards (FIPS) 140-3. Ini hanya didukung mulai dengan cluster Amazon DocumentDB 5.0 (versi engine 3.0.3727) di wilayah ini: ca-central-1, us-west-2, us-east-1, us-east-1, us-east-2, us-east-2, -1. us-gov-east us-gov-west
+ `tls1.2+`- Cluster menerima koneksi aman menggunakan TLS versi 1.2 dan di atasnya. Ini hanya didukung mulai dengan Amazon DocumentDB 4.0 (versi mesin 2.0.10980) dan Amazon DocumentDB 5.0 (versi mesin 3.0.11051).
+ `tls1.3+`- Cluster menerima koneksi aman menggunakan TLS versi 1.3 ke atas. Ini hanya didukung mulai dengan Amazon DocumentDB 4.0 (versi mesin 2.0.10980) dan Amazon DocumentDB 5.0 (versi mesin 3.0.11051).
+ `ApplyMethod` — Kapan modifikasi ini diterapkan. Untuk parameter klaster statis seperti `tle`, nilai ini harus berupa `pending-reboot`.
+ `pending-reboot` — Perubahan diterapkan ke sebuah instans hanya setelah di-boot ulang. Anda harus mem-boot ulang setiap instans klaster satu per satu agar perubahan ini terjadi di semua instans klaster.
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
Kode berikut *dinonaktifkan*`tls`, menerapkan perubahan ke setiap instance saat di-boot ulang.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
Kode berikut *memungkinkan* `tls` (versi 1.0 hingga 1.3) menerapkan perubahan ke setiap instance saat di-boot ulang.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
Kode berikut *memungkinkan* TLS dengan`fips-140-3`, menerapkan perubahan untuk setiap instance ketika reboot.
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
Output dari operasi ini terlihat seperti berikut (format JSON):
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **Nyalakan ulang instans Amazon DocumentDB Anda.**
Boot ulang setiap instans klaster sehingga perubahan diterapkan ke semua instans di klaster. Untuk me-reboot instance Amazon DocumentDB, jalankan perintah dengan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html)opsi berikut:
+ `--db-instance-identifier`
Kode berikut mem-boot ulang instans `mydocdbinstance`.
Dalam contoh berikut, ganti masing-masing *user input placeholder* dengan informasi cluster Anda.
**Example**
Untuk Linux, macOS, atau Unix:
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Untuk Windows:
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
Output dari operasi ini terlihat seperti berikut (format JSON):
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
Diperlukan waktu beberapa menit agar instans di-boot ulang. Anda dapat menggunakan instans hanya ketika statusnya *tersedia*. Anda dapat memantau status instans menggunakan konsol atau AWS CLI. Lihat informasi yang lebih lengkap di [Memantau status instans Amazon DocumentDB](monitoring_docdb-instance_status.md).
------
# Manajemen kunci
Amazon DocumentDB AWS Key Management Service menggunakan AWS KMS() untuk mengambil dan mengelola kunci enkripsi. AWS KMS menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Dengan menggunakan AWS KMS, Anda dapat membuat kunci enkripsi dan menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. AWS KMS mendukung AWS CloudTrail, sehingga Anda dapat mengaudit penggunaan kunci untuk memverifikasi bahwa kunci sedang digunakan dengan tepat.
AWS KMS Kunci Anda dapat digunakan dalam kombinasi dengan Amazon DocumentDB dan layanan yang AWS didukung seperti Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), Amazon Elastic Block Store (Amazon EBS), dan Amazon Redshift. Untuk daftar layanan yang mendukung AWS KMS, lihat [Cara AWS Layanan digunakan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html) dalam *Panduan AWS Key Management Service Pengembang*. Untuk informasi tentang AWS KMS, lihat [Apa itu AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)