AWS KMS key gestione - Amazon Aurora
Autorizzazione dell'uso di una chiave gestita dal clienteContesto RDS di crittografia Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS KMS key gestione

Aurora si integra automaticamente con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Aurora utilizza la crittografia a busta. Per ulteriori informazioni sulla crittografia delle buste, consulta la sezione Envelope encryption nel AWS Key Management Service Guida per gli sviluppatori.

È possibile utilizzare due tipi di AWS KMS chiavi per crittografare i cluster DB.

  • Se desideri il pieno controllo su una KMS chiave, devi creare una chiave gestita dal cliente. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente nel AWS Key Management Service Guida per gli sviluppatori.

    Non è possibile condividere un'istantanea che è stata crittografata utilizzando il Chiave gestita da AWS del AWS account che ha condiviso l'istantanea.

  • Chiavi gestite da AWSsono KMS chiavi del tuo account che vengono create, gestite e utilizzate per tuo conto da un AWS servizio integrato con AWS KMS. Per impostazione predefinita, RDS Chiave gestita da AWS (aws/rds) viene utilizzato per la crittografia. Non è possibile gestire, ruotare o eliminare RDS Chiave gestita da AWS. Per ulteriori informazioni su Chiavi gestite da AWS, vedi Chiavi gestite da AWS nella AWS Key Management Service Guida per gli sviluppatori.

Per gestire KMS le chiavi utilizzate per i cluster di DB crittografate di Aurora, usa AWS Key Management Service (AWS KMS) nel AWS KMS console, la AWS CLI, o AWS KMS API. Per visualizzare i registri di controllo di ogni azione intrapresa con un AWS chiave gestita o gestita dal cliente, usa AWS CloudTrail. Per ulteriori informazioni sulla rotazione dei tasti, vedere Rotazione AWS KMS tasti.

Autorizzazione dell'uso di una chiave gestita dal cliente

Quando Aurora utilizza una chiave gestita dal cliente nelle operazioni crittografiche, agisce per conto dell'utente che sta creando o modificando la risorsa Aurora .

Per creare una risorsa Aurora utilizzando una chiave gestita dal cliente, un utente deve disporre delle autorizzazioni per eseguire le seguenti operazioni sulla chiave gestita dal cliente:

  • kms:CreateGrant

  • kms:DescribeKey

È possibile specificare queste autorizzazioni richieste in una politica chiave o in una IAM politica se la politica chiave lo consente.

Suggerimento

Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave kms: ViaService condition per consentire all'utente di creare concessioni sulla KMS chiave solo quando la concessione viene creata per conto dell'utente da un AWS servizio.

È possibile rendere la IAM politica più rigorosa in vari modi. Ad esempio, se desideri consentire l'utilizzo della chiave gestita dal cliente solo per le richieste che hanno origine in Aurora, usa la chiave kms: ViaService condition con il valore. rds.<region>.amazonaws.com Puoi inoltre usare le chiavi o i valori nel Contesto RDS di crittografia Amazon come condizione per utilizzare la chiave gestita dal cliente per la crittografia.

Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave nel AWS Key Management Service Guida per gli sviluppatori e politiche chiave in AWS KMS.

Contesto RDS di crittografia Amazon

Quando Aurora utilizza la tua KMS chiave o Amazon EBS utilizza la KMS chiave per conto di Aurora, il servizio specifica un contesto di crittografia. Il contesto di crittografia è costituito da dati autenticati aggiuntivi () che AAD AWS KMS utilizza per garantire l'integrità dei dati. Quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio deve specificare lo stesso contesto di crittografia per l'operazione di decrittografia. In caso contrario, la decrittografia ha esito negativo. Il contesto di crittografia viene scritto anche nel tuo AWS CloudTrailregistri per aiutarti a capire perché è stata utilizzata una determinata KMS chiave. CloudTrail I registri possono contenere molte voci che descrivono l'uso di una KMS chiave, ma il contesto di crittografia in ogni voce di registro può aiutarti a determinare il motivo di quel particolare utilizzo.

Come minimo, Aurora utilizza sempre l'ID dell'istanza DB per il contesto di crittografia, come nel seguente JSON esempio in formato:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Questo contesto di crittografia può aiutarti a identificare l'istanza DB per cui è stata utilizzata la tua KMS chiave.

Quando la tua KMS chiave viene utilizzata per un'istanza DB specifica e un EBS volume Amazon specifico, per il contesto di crittografia vengono utilizzati sia l'ID dell'istanza DB che l'ID del EBS volume Amazon, come nel seguente esempio in JSON formato:

{
  "aws:rds:dbc-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}