Abilitazione della crittografia a riposo Limitazioni per i cluster crittografati

Crittografia dei dati di Amazon DocumentDB a riposo

Nota

AWS KMS sta sostituendo il termine customer master key (CMK) con AWS KMS keyand KMSkey. Il concetto non è cambiato. Per evitare modifiche irreversibili, AWS KMS mantiene alcune varianti di questo termine.

È possibile crittografare i dati inattivi nel cluster Amazon DocumentDB specificando l'opzione di crittografia dello storage al momento della creazione del cluster. La crittografia dello storage è abilitata a livello del cluster e viene applicata a tutte le istanze, incluse l'istanza primaria e le repliche. Viene inoltre applicata al volume di archiviazione, ai dati, agli indici, ai registri, ai backup automatici e agli snapshot.

Amazon DocumentDB utilizza l'Advanced Encryption Standard a 256 bit (AES-256) per crittografare i dati utilizzando chiavi di crittografia memorizzate in (). AWS Key Management Service AWS KMS Quando si utilizza un cluster Amazon DocumentDB con crittografia a riposo abilitata, non è necessario modificare la logica dell'applicazione o la connessione client. Amazon DocumentDB gestisce la crittografia e la decrittografia dei dati in modo trasparente, con un impatto minimo sulle prestazioni.

Amazon DocumentDB si integra AWS KMS e utilizza un metodo noto come crittografia a busta per proteggere i dati. Quando un cluster Amazon DocumentDB è crittografato con un AWS KMS, Amazon DocumentDB AWS KMS chiede di utilizzare la KMS tua chiave per generare una chiave di dati di testo cifrato per crittografare il volume di storage. La chiave dati ciphertext viene crittografata utilizzando la KMS chiave definita dall'utente e viene archiviata insieme ai dati crittografati e ai metadati di storage. Quando Amazon DocumentDB deve accedere ai tuoi dati crittografati, richiede di decrittografare la chiave di dati cifrata utilizzando la tua KMS chiave e AWS KMS memorizza nella cache la chiave di dati in chiaro in memoria per crittografare e decrittografare in modo efficiente i dati nel volume di storage.

La funzionalità di crittografia dello storage in Amazon DocumentDB è disponibile per tutte le dimensioni di istanze supportate e Regioni AWS ovunque sia disponibile Amazon DocumentDB.

Abilitazione della crittografia a riposo per un cluster Amazon DocumentDB

Puoi abilitare o disabilitare la crittografia a riposo su un cluster Amazon DocumentDB quando il provisioning del cluster viene eseguito utilizzando AWS Management Console o (). AWS Command Line Interface AWS CLI I cluster creati utilizzando la console dispongono di crittografia inattiva per impostazione predefinita. I cluster creati utilizzando il AWS CLI hanno la crittografia a riposo disabilitata per impostazione predefinita. Pertanto, è necessario abilitare esplicitamente la crittografia inattiva utilizzando il parametro --storage-encrypted. In entrambi i casi, dopo la creazione del cluster, non è possibile modificare l'opzione di crittografia inattiva.

Amazon DocumentDB lo utilizza AWS KMS per recuperare e gestire le chiavi di crittografia e per definire le policy che controllano il modo in cui queste chiavi possono essere utilizzate. Se non specifichi un identificatore di AWS KMS chiave, Amazon DocumentDB utilizza la chiave di servizio gestito AWS KMS predefinita. Amazon DocumentDB crea una KMS chiave separata per ognuno Regione AWS di essi. Account AWS Per ulteriori informazioni, consulta l'argomento relativo ai concetti di base di AWS Key Management Service.

Per iniziare a creare la tua KMS chiave, consulta Getting Started nella AWS Key Management Service Developer Guide.

Importante

È necessario utilizzare una KMS chiave di crittografia simmetrica per crittografare il cluster poiché Amazon DocumentDB supporta solo chiavi di crittografia simmetriche. KMS Non utilizzare una KMS chiave asimmetrica per tentare di crittografare i dati nei cluster Amazon DocumentDB. Per ulteriori informazioni, consulta Asymmetric keys nella Developer Guide. AWS KMSAWS Key Management Service

Se Amazon DocumentDB non può più accedere alla chiave di crittografia per un cluster, ad esempio quando l'accesso a una chiave viene revocato, il cluster crittografato entra in uno stato terminale. In questo caso, puoi solo ripristinare il cluster da un backup. Per Amazon DocumentDB, i backup sono sempre abilitati per 1 giorno.

Inoltre, se disabiliti la chiave per un cluster Amazon DocumentDB crittografato, alla fine perderai l'accesso in lettura e scrittura a quel cluster. Quando Amazon DocumentDB incontra un cluster crittografato da una chiave a cui non ha accesso, mette il cluster in uno stato terminale. In questo stato, il cluster non è più disponibile e lo stato attuale del database non può essere ripristinato. Per ripristinare il cluster, è necessario riabilitare l'accesso alla chiave di crittografia per Amazon DocumentDB e quindi ripristinare il cluster da un backup.

Importante

Non è possibile modificare la KMS chiave per un cluster crittografato dopo averlo già creato. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.

Using the AWS Management Console

Puoi specificare l'opzione crittografia inattiva al momento della creazione di un cluster. La crittografia inattiva è abilitata per impostazione predefinita quando si crea un cluster utilizzando l'opzione AWS Management Console. Non può essere modificata dopo la creazione del cluster.

Per specificare l'opzione crittografia inattiva durante la creazione del cluster

Crea un cluster Amazon DocumentDB come descritto nella sezione Getting Started. Tuttavia, nel passaggio 6, non scegliere Create cluster (Crea cluster).
Nella sezione Authentication (Autenticazione), scegliere Show advanced settings (Mostra impostazioni avanzate).
Scorri verso il basso fino alla ncryption-at-rest sezione E.
Scegliere l'opzione desiderata per la crittografia inattiva. Qualunque sia l'opzione scelta, non è possibile modificarla dopo la creazione del cluster.
- Per crittografare i dati inattivi in questo cluster, scegliere Enable encryption (Abilita crittografia).
- Se non si desidera crittografare i dati inattivi in questo cluster, scegliere Disable encryption (Disabilita crittografia).
Scegli la chiave primaria che desideri. Amazon DocumentDB utilizza AWS Key Management Service (AWS KMS) per recuperare e gestire le chiavi di crittografia e per definire le policy che controllano il modo in cui queste chiavi possono essere utilizzate. Se non specifichi un identificatore di AWS KMS chiave, Amazon DocumentDB utilizza la chiave di servizio gestito AWS KMS predefinita. Per ulteriori informazioni, consulta l'argomento relativo ai concetti di base di AWS Key Management Service.

Nota
Dopo aver creato un cluster crittografato, non puoi modificare la KMS chiave per quel cluster. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.
Completare le altre sezioni secondo necessità e creare il cluster.

Using the AWS CLI

Per crittografare un cluster Amazon DocumentDB utilizzando AWS CLI il, è necessario specificare l'opzione --storage-encrypted al momento della creazione del cluster. I cluster Amazon DocumentDB creati utilizzando la crittografia dello storage AWS CLI non abilita per impostazione predefinita.

L'esempio seguente crea un cluster Amazon DocumentDB con la crittografia dello storage abilitata.

Per Linux, macOS o Unix:


aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted

Per Windows:


aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted

Quando crei un cluster Amazon DocumentDB crittografato, puoi specificare un identificatore di AWS KMS chiave, come nell'esempio seguente.

Per Linux, macOS o Unix:


aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted \
      --kms-key-id key-arn-or-alias

Per Windows:


aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted ^
      --kms-key-id key-arn-or-alias

Nota

Dopo aver creato un cluster crittografato, non è possibile modificare la KMS chiave per quel cluster. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.

Limitazioni per i cluster crittografati di Amazon DocumentDB

Esistono le seguenti limitazioni per i cluster crittografati di Amazon DocumentDB.

È possibile abilitare o disabilitare la crittografia a riposo per un cluster Amazon DocumentDB solo al momento della creazione, non dopo la creazione del cluster. Tuttavia, è possibile creare una copia crittografata di un cluster non crittografato creando un'istantanea del cluster non crittografato e quindi ripristinando l'istantanea non crittografata come nuovo cluster specificando l'opzione di crittografia a riposo.

Per ulteriori informazioni, consulta i seguenti argomenti:
I cluster Amazon DocumentDB con crittografia dello storage abilitata non possono essere modificati per disabilitare la crittografia.
Tutte le istanze, i backup automatici, le istantanee e gli indici in un cluster Amazon DocumentDB sono crittografati con la stessa chiave. KMS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crittografia lato client a livello di campo lato client a

Crittografia dei dati in transito