Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi At-Rest di MemoryDB
Untuk membantu menjaga keamanan data Anda, MemoryDB dan Amazon S3 menyediakan berbagai cara untuk membatasi akses ke data di cluster Anda. Untuk informasi selengkapnya, silakan lihat MemoryDB dan Amazon VPC dan Manajemen identitas dan akses di MemoryDB.
Enkripsi saat istirahat MemoryDB selalu diaktifkan untuk meningkatkan keamanan data dengan mengenkripsi data persisten. Ini mengenkripsi aspek-aspek berikut:
-
Data dalam log transaksi
-
Disk selama operasi sinkronisasi, snapshot, dan swap
-
Snapshot disimpan di Amazon S3
MemoryDB menawarkan enkripsi default (dikelola layanan) saat istirahat, serta kemampuan untuk menggunakan kunci root pelanggan yang dikelola pelanggan simetris Anda sendiri di AWS Key Management Service (). KMS
Data yang disimpan pada SSDs (solid-state drive) dalam cluster yang diaktifkan tingkat data selalu dienkripsi secara default.
Untuk informasi tentang enkripsi in-transit, lihat Enkripsi dalam transit (TLS) di MemoryDB
Menggunakan Kunci yang Dikelola Pelanggan dari AWS KMS
MemoryDB mendukung kunci root (KMSkunci) yang dikelola pelanggan simetris untuk enkripsi saat istirahat. Kunci yang dikelola pelanggan adalah KMS kunci enkripsi yang Anda buat, miliki, dan kelola di akun Anda AWS . Untuk informasi selengkapnya, lihat Kunci Root Pelanggan di Panduan Pengembang Layanan Manajemen AWS Kunci. Kunci harus dibuat AWS KMS sebelum dapat digunakan dengan MemoryDB.
Untuk mempelajari cara membuat kunci AWS KMS root, lihat Membuat Kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.
MemoryDB memungkinkan Anda untuk berintegrasi dengan. AWS KMS Untuk informasi selengkapnya, lihat Menggunakan Grant dalam Panduan Developer AWS Key Management Service. Tidak diperlukan tindakan pelanggan untuk mengaktifkan integrasi MemoryDB dengan. AWS KMS
Kunci kms:ViaService
kondisi membatasi penggunaan AWS KMS kunci untuk permintaan dari AWS layanan tertentu. Untuk digunakan kms:ViaService
dengan MemoryDB, sertakan kedua ViaService nama dalam nilai kunci kondisi:. memorydb.amazon_region.amazonaws.com
Untuk informasi lebih lanjut, lihat kms: ViaService.
Anda dapat menggunakan AWS CloudTrailuntuk melacak permintaan yang dikirimkan MemoryDB AWS Key Management Service atas nama Anda. Semua API panggilan yang AWS Key Management Service terkait dengan kunci yang dikelola pelanggan memiliki CloudTrail log yang sesuai. Anda juga dapat melihat hibah yang dibuat MemoryDB dengan memanggil panggilan. ListGrantsKMSAPI
Setelah cluster dienkripsi menggunakan kunci yang dikelola pelanggan, semua snapshot untuk cluster dienkripsi sebagai berikut:
Snapshot harian otomatis dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan cluster.
Snapshot akhir yang dibuat saat cluster dihapus, juga dienkripsi menggunakan kunci terkelola pelanggan yang terkait dengan cluster.
Snapshot yang dibuat secara manual dienkripsi secara default untuk menggunakan KMS kunci yang terkait dengan cluster. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.
Menyalin snapshot secara default menggunakan kunci terkelola pelanggan yang terkait dengan snapshot sumber. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.
catatan
-
Kunci terkelola pelanggan tidak dapat digunakan saat mengekspor snapshot ke bucket Amazon S3 yang Anda pilih. Namun, semua snapshot yang diekspor ke Amazon S3 dienkripsi menggunakan enkripsi sisi Server. Anda dapat memilih untuk menyalin file snapshot ke objek S3 baru dan mengenkripsi menggunakan KMS kunci yang dikelola pelanggan, menyalin file ke bucket S3 lain yang diatur dengan enkripsi default menggunakan KMS kunci atau mengubah opsi enkripsi dalam file itu sendiri.
-
Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi snapshot yang dibuat secara manual yang tidak menggunakan kunci yang dikelola pelanggan untuk enkripsi. Dengan opsi ini, file snapshot yang disimpan di Amazon S3 dienkripsi menggunakan KMS kunci, meskipun data tidak dienkripsi pada cluster asli.
Memulihkan dari snapshot memungkinkan Anda memilih dari opsi enkripsi yang tersedia, mirip dengan pilihan enkripsi yang tersedia saat membuat cluster baru.
Jika Anda menghapus kunci atau menonaktifkan kunci dan mencabut hibah untuk kunci yang Anda gunakan untuk mengenkripsi klaster, cluster menjadi tidak dapat dipulihkan. Dengan kata lain, itu tidak dapat dimodifikasi atau dipulihkan setelah kegagalan perangkat keras. AWS KMSmenghapus kunci root hanya setelah masa tunggu setidaknya tujuh hari. Setelah kunci dihapus, Anda dapat menggunakan kunci yang dikelola pelanggan yang berbeda untuk membuat snapshot untuk tujuan arsip.
Rotasi kunci otomatis mempertahankan properti kunci AWS KMS root Anda, sehingga rotasi tidak berpengaruh pada kemampuan Anda untuk mengakses data MemoryDB Anda. Cluster MemoryDB terenkripsi tidak mendukung rotasi kunci manual, yang melibatkan pembuatan kunci root baru dan memperbarui referensi apa pun ke kunci lama. Untuk mempelajari selengkapnya, lihat Memutar Kunci root Pelanggan di Panduan Pengembang Layanan Manajemen AWS Kunci.
Mengenkripsi cluster MemoryDB menggunakan KMS kunci memerlukan satu hibah per cluster. Hibah ini digunakan sepanjang umur cluster. Selain itu, satu hibah per snapshot digunakan selama pembuatan snapshot. Hibah ini dihentikan setelah snapshot dibuat.
Untuk informasi selengkapnya tentang AWS KMS hibah dan batasan, lihat Kuota di Panduan Pengembang Layanan Manajemen AWS Utama.