AWS KMS key gestione - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS KMS key gestione

Amazon RDS Amazon automaticamente con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Amazon RDS Amazon utilizza la crittografia a busta. Per ulteriori informazioni sulla crittografia delle buste, consulta la sezione Envelope encryption nel AWS Key Management Service Guida per gli sviluppatori.

È possibile utilizzare due tipi di AWS KMS

  • Se desideri il pieno controllo su una KMS chiave, devi creare una chiave gestita dal cliente. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente nel AWS Key Management Service Guida per gli sviluppatori.

    Non è possibile condividere un'istantanea che è stata crittografata utilizzando il Chiave gestita da AWS del AWS account che ha condiviso l'istantanea.

  • Chiavi gestite da AWSsono KMS chiavi del tuo account che vengono create, gestite e utilizzate per tuo conto da un AWS servizio integrato con AWS KMS. Per impostazione predefinita, RDS Chiave gestita da AWS (aws/rds) viene utilizzato per la crittografia. Non è possibile gestire, ruotare o eliminare RDS Chiave gestita da AWS. Per ulteriori informazioni su Chiavi gestite da AWS, vedi Chiavi gestite da AWS nella AWS Key Management Service Guida per gli sviluppatori.

Per gestire KMS le chiavi utilizzate per i di istanze DB crittografate di RDSAmazon , usa AWS Key Management Service (AWS KMS) nel AWS KMS console, la AWS CLI, o AWS KMS API. Per visualizzare i registri di controllo di ogni azione intrapresa con un AWS chiave gestita o gestita dal cliente, usa AWS CloudTrail. Per ulteriori informazioni sulla rotazione dei tasti, vedere Rotazione AWS KMS tasti.

Autorizzazione dell'uso di una chiave gestita dal cliente

Per creare una risorsa RDS utilizzando una chiave gestita dal cliente, un utente deve disporre delle autorizzazioni per eseguire le seguenti operazioni sulla chiave gestita dal cliente:

  • kms:CreateGrant

  • kms:DescribeKey

È possibile specificare queste autorizzazioni richieste in una politica chiave o in una IAM politica se la politica chiave lo consente.

Suggerimento

Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave kms: ViaService condition per consentire all'utente di creare concessioni sulla KMS chiave solo quando la concessione viene creata per conto dell'utente da un AWS servizio.

È possibile rendere la IAM politica più rigorosa in vari modi. Ad esempio, se desideri consentire l'utilizzo della chiave gestita dal cliente solo per le richieste che hanno origine in RDS, usa la chiave kms: ViaService condition con il valore. rds.<region>.amazonaws.com Puoi inoltre usare le chiavi o i valori nel Contesto RDS di crittografia Amazon come condizione per utilizzare la chiave gestita dal cliente per la crittografia.

Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave nel AWS Key Management Service Guida per gli sviluppatori e politiche chiave in AWS KMS.

Contesto RDS di crittografia Amazon

Quando RDS utilizza la tua KMS chiave o Amazon EBS utilizza la KMS chiave per conto di RDS, il servizio specifica un contesto di crittografia. Il contesto di crittografia è costituito da dati autenticati aggiuntivi () che AAD AWS KMS utilizza per garantire l'integrità dei dati. Quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio deve specificare lo stesso contesto di crittografia per l'operazione di decrittografia. In caso contrario, la decrittografia ha esito negativo. Il contesto di crittografia viene scritto anche nel tuo AWS CloudTrailregistri per aiutarti a capire perché è stata utilizzata una determinata KMS chiave. CloudTrail I registri possono contenere molte voci che descrivono l'uso di una KMS chiave, ma il contesto di crittografia in ogni voce di registro può aiutarti a determinare il motivo di quel particolare utilizzo.

Come minimo, Amazon RDS utilizza sempre l'ID dell'istanza DB per il contesto di crittografia, come nel seguente JSON esempio in formato:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Questo contesto di crittografia può aiutarti a identificare l'istanza DB per cui è stata utilizzata la tua KMS chiave.

Quando la tua KMS chiave viene utilizzata per un'istanza DB specifica e un EBS volume Amazon specifico, per il contesto di crittografia vengono utilizzati sia l'ID dell'istanza DB che l'ID del EBS volume Amazon, come nel seguente esempio in JSON formato:

{ "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }