Gestione di AWS KMS key - Amazon Relational Database Service
Autorizzazione dell'uso di una chiave gestita dal clienteContesto di crittografia di Amazon RDS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione di AWS KMS key

Amazon RDS si integra automaticamente con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Amazon RDS utilizza la crittografia envelope. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service.

È possibile utilizzare due tipi di chiavi AWS KMS per crittografare le istanze database.

  • Per avere il pieno controllo su una chiave KMS, devi creare una chiave gestita dal cliente. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.

    Non puoi condividere uno snapshot che è stata crittografata con la Chiave gestita da AWS dell'account AWS che ha condiviso la snapshot.

  • Le Chiavi gestite da AWS sono chiavi KMS nel tuo account create, gestite e utilizzate a tuo nome da un servizio AWS che si integra con AWS KMS. Per impostazione predefinita, la Chiave gestita da AWS RDS (aws/rds) viene utilizzata per la crittografia. Non è possibile gestire, ruotare o eliminare la Chiave gestita da AWS RDS. Per ulteriori informazioni su Chiavi gestite da AWS, consulta Chiavi gestite da AWS nella Guida per gli sviluppatori di AWS Key Management Service.

Puoi gestire le chiavi KMS utilizzate per le istanze database di Amazon RDS tramite AWS Key Management Service (AWS KMS) nella console AWS KMS, la AWS CLI o l'API AWS KMS. Puoi visualizzare i log di controllo di ogni operazione eseguita con una chiave gestita da AWS o dal cliente utilizzando AWS CloudTrail. Per ulteriori informazioni sulla rotazione delle chiavi, consulta Rotazione delle chiavi AWS KMS.

Importante

Se si disattivano o revocano le autorizzazioni per una chiave KMS utilizzata da un database RDS, RDS inserisce il database in uno stato terminale quando è richiesto l'accesso alla chiave KMS. Questa modifica potrebbe essere immediata o differita, a seconda del caso d'uso che richiedeva l'accesso alla chiave KMS. In questo stato, l'istanza database non è più disponibile e lo stato attuale del database non può essere ripristinato. Per ripristinare l'istanza database, devi riabilitare l'accesso alla chiave KMS per RDS e ripristinare l'istanza database dall'ultimo backup disponibile.

Autorizzazione dell'uso di una chiave gestita dal cliente

Quando RDS utilizza una chiave gestita dal cliente in operazioni che coinvolgono la crittografia, funziona per conto dell'utente che crea o modifica la risorsa RDS.

Per creare una risorsa RDS utilizzando una chiave gestita dal cliente, un utente deve disporre delle autorizzazioni per richiamare le seguenti operazioni su tale chiave:

  • kms:CreateGrant

  • kms:DescribeKey

Puoi specificare queste autorizzazioni necessarie in una policy chiave o in una policy IAM se la policy chiave lo consente.

Esistono diversi modi per rendere la policy IAM più efficace. Ad esempio, se desideri consentire l'uso della chiave gestita dal cliente solo per le richieste che provengono da RDS, puoi utilizzare la chiave di condizione kms:ViaService con il valore rds.<region>.amazonaws.com. Puoi inoltre usare le chiavi o i valori nel Contesto di crittografia di Amazon RDS come condizione per utilizzare la chiave gestita dal cliente per la crittografia.

Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS nella Guida per gli sviluppatori di AWS Key Management Service e Policy delle chiavi in AWS KMS.

Contesto di crittografia di Amazon RDS

Quando RDS utilizza la chiave KMS o quando Amazon EBS utilizza la chiave KMS per conto di RDS, il servizio specifica un contesto di crittografia. Il contesto di crittografia rappresenta dati autenticati supplementari (AAD) utilizzati da AWS KMS per garantire l'integrità dei dati. Quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio deve specificare lo stesso contesto di crittografia per l'operazione di decrittografia. In caso contrario, la decrittografia ha esito negativo. Il contesto di crittografia viene scritto nei log AWS CloudTrail per aiutarti a comprendere perché è stata utilizzata una determinata chiave KMS. I log CloudTrail potrebbero contenere molte voci che descrivono l'utilizzo di una chiave KMS, ma il contesto di crittografia in ciascuna voce di log può aiutarti a determinare il motivo per quel particolare uso.

Come minimo, Amazon RDS utilizza sempre l'ID dell'istanza database per il contesto di crittografia, come nel seguente esempio in formato JSON:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Questo contesto di crittografia può aiutarti a identificare l'istanza database per la quale è stata utilizzata la tua chiave KMS.

Quando la tua chiave KMS viene utilizzata per un'istanza database specifica e un determinato volume Amazon EBS, sia l'ID dell'istanza database e l'ID del volume Amazon EBS vengono utilizzati per il contesto di crittografia, come nel seguente esempio in formato JSON:

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}