Crittografia At-Rest in MemoryDB - Amazon MemoryDB

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia At-Rest in MemoryDB

Per proteggere i dati, MemoryDB e Amazon S3 offrono diversi modi per limitare l'accesso ai dati nei cluster. Per ulteriori informazioni, consulta MemoryDB e Amazon VPC e Gestione delle identità e degli accessi in MemoryDB.

La crittografia a riposo di MemoryDB è sempre abilitata per aumentare la sicurezza dei dati crittografando i dati persistenti. Crittografa i seguenti aspetti:

  • Dati nel registro delle transazioni

  • Disco durante le operazioni di sincronizzazione, istantanea e scambio

  • Istantanee archiviate in Amazon S3

MemoryDB offre la crittografia predefinita (gestita dal servizio) a riposo, oltre alla possibilità di utilizzare le proprie chiavi root simmetriche gestite dal cliente in AWS Key Management Service (). KMS

I dati archiviati su SSDs (unità a stato solido) in cluster abilitati alla suddivisione dei dati sono sempre crittografati per impostazione predefinita.

Per informazioni sulla crittografia dei dati in transito, consulta Crittografia in transito (TLS) in MemoryDB

Utilizzo delle chiavi gestite dai clienti di AWS KMS

MemoryDB supporta chiavi root simmetriche gestite dal cliente (KMSchiave) per la crittografia a riposo. Le KMS chiavi gestite dal cliente sono chiavi di crittografia che crei, possiedi e gestisci nel tuo account. AWS Per ulteriori informazioni, consulta Customer Root Keys nella AWS Key Management Service Developer Guide. Le chiavi devono essere create AWS KMS prima di poter essere utilizzate con MemoryDB.

Per informazioni su come creare chiavi AWS KMS root, consulta Creating Keys nella AWS Key Management Service Developer Guide.

MemoryDB consente l'integrazione con. AWS KMS Per ulteriori informazioni, consulta Utilizzo di concessioni nella AWS Guida per gli sviluppatori Key Management Service. Non è necessaria alcuna azione del cliente per abilitare l'integrazione di MemoryDB con. AWS KMS

La chiave di kms:ViaService condizione limita l'uso di una AWS KMS chiave alle richieste provenienti da servizi specifici AWS . Da utilizzare kms:ViaService con MemoryDB, includi entrambi i ViaService nomi nel valore della chiave di condizione:. memorydb.amazon_region.amazonaws.com Per ulteriori informazioni, vedere kms:. ViaService

Puoi usarlo AWS CloudTrailper tenere traccia delle richieste a cui MemoryDB invia per tuo AWS Key Management Service conto. Tutte le API chiamate AWS Key Management Service relative alle chiavi gestite dal cliente hanno i registri corrispondenti CloudTrail . È inoltre possibile visualizzare le concessioni create da MemoryDB chiamando la chiamata. ListGrantsKMSAPI

Una volta crittografato un cluster utilizzando una chiave gestita dal cliente, tutte le istantanee del cluster vengono crittografate come segue:

  • Le istantanee giornaliere automatiche vengono crittografate utilizzando la chiave gestita dal cliente associata al cluster.

  • L'istantanea finale creata quando il cluster viene eliminato viene inoltre crittografata utilizzando la chiave gestita dal cliente associata al cluster.

  • Le istantanee create manualmente sono crittografate per impostazione predefinita per utilizzare la KMS chiave associata al cluster. Puoi sostituirla scegliendo un'altra chiave gestita dal cliente.

  • Per impostazione predefinita, la copia di un'istantanea prevede l'utilizzo della chiave gestita dal cliente associata allo snapshot di origine. Puoi sostituirla scegliendo un'altra chiave gestita dal cliente.

Nota
  • Le chiavi gestite dal cliente non possono essere utilizzate per l'esportazione di istantanee nel bucket Amazon S3 selezionato. Tuttavia, tutte le istantanee esportate in Amazon S3 vengono crittografate utilizzando la crittografia lato server. Puoi scegliere di copiare il file di istantanea su un nuovo oggetto S3 e cifrarlo utilizzando una KMS chiave gestita dal cliente, copiare il file in un altro bucket S3 configurato con crittografia predefinita utilizzando una KMS chiave o modificare un'opzione di crittografia nel file stesso.

  • Puoi anche utilizzare chiavi gestite dal cliente per crittografare istantanee create manualmente che non utilizzano chiavi gestite dal cliente per la crittografia. Con questa opzione, il file di snapshot archiviato in Amazon S3 viene crittografato utilizzando KMS una chiave, anche se i dati non sono crittografati nel cluster originale.

Il ripristino da un'istantanea consente di scegliere tra le opzioni di crittografia disponibili, analogamente alle scelte di crittografia disponibili durante la creazione di un nuovo cluster.

  • Se si elimina la chiave o si disabilita la chiave e si revocano le concessioni per la chiave utilizzata per crittografare un cluster, il cluster diventa irrecuperabile. In altre parole, non può essere modificato o ripristinato dopo un guasto hardware. AWS KMSelimina le chiavi principali solo dopo un periodo di attesa di almeno sette giorni. Dopo l'eliminazione della chiave, è possibile utilizzare una chiave gestita dal cliente diversa per creare un'istantanea a scopo di archiviazione.

  • La rotazione automatica delle chiavi preserva le proprietà delle chiavi principali, quindi la rotazione non ha alcun effetto sulla capacità di accedere ai dati di MemoryDB. AWS KMS I cluster MemoryDB crittografati non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave principale e l'aggiornamento di eventuali riferimenti alla vecchia chiave. Per ulteriori informazioni, consulta Rotating Customer Root Keys nella AWS Key Management Service Developer Guide.

  • La crittografia di un cluster MemoryDB tramite KMS chiave richiede una concessione per cluster. Questa concessione viene utilizzata per tutta la durata del cluster. Inoltre, durante la creazione di istantanee viene utilizzata una concessione per istantanea. Questa concessione viene ritirata una volta creata l'istantanea.

  • Per ulteriori informazioni su AWS KMS concessioni e limiti, consulta Quotas nella AWS Key Management Service Developer Guide.

Vedi anche