Crittografia delle Amazon Aurora - Amazon Aurora
Panoramica della crittografia delle risorse Amazon AuroraCreazione di un cluster di database Amazon AuroraDeterminare se la crittografia è attivata per un cluster databaseDisponibilità della Amazon Amazon AuroraCrittografia in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia delle Amazon Aurora

I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le cluster database, i backup automatici, le repliche di lettura e gli snapshot.

Dopo la crittografia dei dati, Aurora gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia.

Nota

Per i cluster di DB crittografati e non crittografati, i dati in transito tra le repliche di origine e quelle di lettura vengono crittografati, anche durante la replica tra regioni. AWS

Panoramica della crittografia delle risorse Amazon Aurora

I cluster database Amazon Aurora crittografati offrono un livello aggiuntivo di sicurezza dei dati proteggendoli dagli accessi non autorizzati nello storage sottostante. Puoi utilizzare la crittografia Amazon Aurora per aumentare la protezione dei dati delle applicazioni che vengono distribuite nel cloud e per soddisfare i requisiti di conformità per la crittografia dei dati inattivi.

Per un cluster database Amazon Aurora crittografato, vengono crittografati tutti i log, i backup e le snapshot. Puoi anche crittografare una replica di lettura di un cluster crittografato con Amazon Aurora. Amazon Aurora utilizza una AWS Key Management Service chiave per crittografare queste risorse. Per ulteriori informazioni sulle KMS chiavi, consulta AWS KMS keysla AWS Key Management Service Developer Guide e. AWS KMS key gestione Ogni istanza DB nel cluster DB è crittografata utilizzando la stessa KMS chiave del cluster DB. Se si copia un'istantanea crittografata, è possibile utilizzare una KMS chiave diversa per crittografare l'istantanea di destinazione rispetto a quella utilizzata per crittografare lo snapshot di origine.

È possibile utilizzare o creare chiavi Chiave gestita da AWS gestite dal cliente. Per gestire le chiave gestite dal cliente utilizzate per crittografare e decrittografare le risorse Amazon Aurora , utilizza AWS Key Management Service , (AWS KMS). AWS KMS combina hardware e software sicuri e a disponibilità elevata per offrire un sistema di gestione delle chiavi a misura di cloud. Utilizzando AWS KMS, è possibile creare chiavi gestite dal cliente e definire le politiche che controllano il modo in cui tali chiavi gestite dal cliente possono essere utilizzate. AWS KMS supporta CloudTrail, in modo da poter controllare l'utilizzo KMS delle chiavi per verificare che le chiavi gestite dal cliente vengano utilizzate in modo appropriato. Puoi utilizzare le chiavi gestite dai clienti con Amazon Aurora e AWS servizi supportati come Amazon S3, Amazon e EBS Amazon Redshift. Per un elenco dei servizi che sono integrati con AWS KMS, consulta AWS Service Integration.

Creazione di un cluster di database Amazon Aurora

Per crittografare un nuovo cluster di database, scegliere Enable encryption (Abilita crittografia) nella console. Per ulteriori informazioni sulla creazione di un cluster database, consulta Creazione di un cluster database Amazon Aurora.

Se utilizzate il create-db-cluster AWS CLI comando per creare un cluster DB crittografato, impostate il --storage-encrypted parametro. Se utilizzate l'reateDBClusterAPIoperazione C, impostate il StorageEncrypted parametro su true.

Quando crei un cluster DB crittografato, puoi scegliere una chiave gestita dal cliente o consentire Chiave gestita da AWS ad Amazon Aurora di crittografare il tuo cluster DB. Se non specifichi l'identificatore della chiave per una chiave gestita dal cliente, Amazon Aurora utilizza la Chiave gestita da AWS per il nuovo cluster di database. Amazon Aurora crea una pagina per Amazon Aurora Chiave gestita da AWS per il tuo account. AWS Il tuo AWS account ha un nome diverso Chiave gestita da AWS per Amazon Aurora per ogni AWS regione.

Per ulteriori informazioni sulle KMS chiavi, consulta AWS KMS keysla Guida per gli AWS Key Management Service sviluppatori.

Dopo aver creato un cluster DB crittografato, non è possibile modificare la KMS chiave utilizzata da quel cluster DB. Pertanto, assicuratevi di determinare i requisiti KMS chiave prima di creare il cluster DB crittografato.

Se utilizzate il AWS CLI create-db-cluster comando per creare un cluster DB crittografato con una chiave gestita dal cliente, impostate il --kms-key-id parametro su qualsiasi identificatore di chiave per la KMS chiave. Se utilizzi l'RDSAPICreateDBInstanceoperazione Amazon, imposta il KmsKeyId parametro su qualsiasi identificatore di chiave per la KMS chiave. Per utilizzare una chiave gestita dal cliente in un altro AWS account, specifica la chiave ARN o l'aliasARN.

Importante

Amazon Aurora può perdere l'accesso alla KMS chiave per un cluster DB quando disabiliti la KMS chiave. In questi casi, il cluster DB crittografato entra in inaccessible-encryption-credentials-recoverable stato tra breve. Il cluster DB rimane in questo stato per sette giorni, durante i quali l'istanza viene interrotta. APIle chiamate effettuate al cluster DB durante questo periodo potrebbero non avere esito positivo. Per ripristinare il cluster DB, abilita la KMS chiave e riavvia questo cluster di DB. Abilita la KMS chiave da AWS Management Console. Riavviare il cluster DB utilizzando il AWS CLI comando start-db-clustero AWS Management Console.

Se il cluster DB non viene ripristinato entro sette giorni, passa allo inaccessible-encryption-credentials stato terminale. In questo stato, il cluster DB non è più utilizzabile ed è possibile ripristinare il cluster DB solo da un backup. Ti consigliamo vivamente di attivare sempre i backup per i cluster DB crittografati per evitare la perdita di dati crittografati nei database.

Durante la creazione di un cluster DB, Aurora verifica se il principale chiamante ha accesso alla KMS chiave e genera una concessione dalla KMS chiave che utilizza per l'intera durata del cluster DB. La revoca dell'accesso del principale chiamante alla KMS chiave non influisce su un database in esecuzione. Quando si utilizzano KMS le chiavi in scenari con più account, ad esempio per copiare un'istantanea su un altro account, la KMS chiave deve essere condivisa con l'altro account. Se si crea un cluster DB dalla snapshot senza specificare una KMS chiave diversa, il nuovo cluster utilizza la chiave dell'account di origineKMS. La revoca dell'accesso alla chiave dopo aver creato il cluster DB non influisce sul cluster. Tuttavia, la disabilitazione della chiave influisce su tutti i cluster DB crittografati con quella chiave. Per evitare che ciò accada, specificate una chiave diversa durante l'operazione di copia dell'istantanea.

Determinare se la crittografia è attivata per un cluster database

È possibile utilizzare il AWS Management Console AWS CLI, o RDS API per determinare se la crittografia a riposo è attivata per un cluster DB.

Per determinare se la crittografia a riposo è attivata per un cluster database

  1. Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel pannello di navigazione, scegliere Databases (Database).

  3. Scegliere il nome del cluster database da controllare per visualizzarne i dettagli.

  4. Selezionare la casella Configurazione e controllare il valore Crittografia.

    Mostra Enabled (Abilitato) o Non abilitato.

    Verifica della crittografia inattiva per un cluster database

Per determinare se la crittografia a riposo è attivata per un cluster DB utilizzando il AWS CLI, chiama il describe-db-clusterscomando con la seguente opzione:

  • --db-cluster-identifier: il nome del cluster di database.

Nell'esempio seguente viene utilizzata una query per restituire TRUE o FALSE per quanto riguarda la crittografia inattiva per il cluster database mydb.

Esempio 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Per determinare se la crittografia a riposo è attivata per un cluster DB utilizzando Amazon RDSAPI, chiama l'escribeDBClustersoperazione D con il seguente parametro:

  • DBClusterIdentifier: il nome del cluster di database.

Disponibilità della Amazon Amazon Aurora

La crittografia Amazon Aurora è attualmente disponibile per tutti i motori di database e i tipi di storage.

Nota

La crittografia Amazon Aurora non è disponibile per la classe di istanza database db.t2.micro.

Crittografia in transito

AWS fornisce connettività sicura e privata tra istanze DB di tutti i tipi. Inoltre, alcuni tipi di istanza utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze. Questa crittografia utilizza algoritmi Authenticated Encryption with Associated Data (AEAD), con crittografia a 256 bit. Non vi è alcun impatto sulle prestazioni della rete. Per supportare questa crittografia aggiuntiva del traffico in transito tra istanze, è necessario soddisfare i seguenti requisiti:

  • Le istanze utilizzano i seguenti tipi di istanza:

    • Scopo generale: M6i, M6id, M6in, M6idn, M7g

    • Memoria ottimizzata: R6i, R6id, R6in, R6idn, R7g, X2idn, X2iEdn, X2iEzn

  • Le Regione AWS istanze sono le stesse.

  • Le istanze sono uguali VPC o collegate tra loro e il traffico non passa attraverso un dispositivo o un servizio di rete virtuale, come un sistema di bilanciamento del carico o un gateway di transitoVPCs.

Esistono le seguenti limitazioni per i cluster di DB crittografate di Aurora:

  • Non puoi disattivare la crittografia di un cluster database crittografato.

  • Non puoi creare uno snapshot crittografata per un cluster database non crittografato.

  • Un'istantanea di un cluster di DB crittografato deve essere crittografata utilizzando la stessa KMS chiave del cluster di DB.

  • Non è possibile convertire un cluster database non crittografato in uno crittografato. Tuttavia, puoi ripristinare uno snapshot di un cluster database non crittografato in un cluster database Aurora crittografato. A tale scopo, specifica una KMS chiave quando esegui il ripristino da un'istantanea non crittografata.

  • Non è possibile creare una replica Aurora crittografata da un cluster database Aurora non crittografato. Non è possibile creare una replica Aurora non crittografata da un cluster database Aurora crittografato.

  • Per copiare un'istantanea crittografata da una AWS regione all'altra, è necessario specificare la KMS chiave nella regione di destinazione. AWS Questo perché KMS le chiavi sono specifiche della AWS regione in cui vengono create.

    La snapshot di origine resta crittografata nel processo di copia. Aurora utilizza la crittografia a busta per proteggere i dati durante il processo di copia. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service .

  • Non è possibile decrittografare un cluster database crittografato. Tuttavia, puoi esportare i dati da un cluster database crittografato e importarli in un cluster database non crittografato.