Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei dati inattivi in MemoryDB
Per mantenere la sicurezza dei dati, MemoryDB for Redis e Amazon S3 forniscono metodi diversi per limitare l'accesso ai dati nei cluster. Per ulteriori informazioni, consultare MemoryDB e Amazon VPC e Gestione delle identità e degli accessi in MemoryDB per Redis.
La crittografia dei dati inattivi di MemoryDB è sempre abilitata per incrementare la sicurezza dei dati crittografando i dati persistenti. Crittografa i seguenti aspetti:
-
Dati nel registro delle transazioni
-
Disco durante le operazioni di sincronizzazione, istantanea e swap
-
Istantanee archiviate in Amazon S3
MemoryDB offre la crittografia di default (servizio gestito) dei dati inattivi, nonché la possibilità di utilizzare le chiavi simmetriche root gestite del cliente in AWSKey Management Service (KMS).
I dati archiviati su SSD (Solid State Drive) in cluster abilitati per il tiering di dati sono sempre crittografati per impostazione predefinita.
Per informazioni sulla crittografia dei dati in transito, consulta Crittografia in transito (TLS) in MemoryDB
Utilizzo delle chiavi gestite dai clienti diAWS KMS
MemoryDB supporta le chiavi simmetriche root gestite dal cliente (chiave KMS) per la crittografia inattiva. Le chiavi KMS gestite dal cliente sono chiavi crittografiche che è possibile creare, possedere e gestire all'interno del proprio account AWS. Per ulteriori informazioni, consulta Customer RootAWS Key nella Guida per gli sviluppatori di Key Management Service. Le chiavi devono essere create inAWS KMS prima di poter essere utilizzate con MemoryDB.
Per informazioni su come creare chiavi master KMS AWS, consulta Creazione di chiavi nella AWSGuida per gli sviluppatori di Key Management Service.
MemoryDB consente l'integrazione conAWS KMS. Per ulteriori informazioni, consulta Utilizzo di concessioni nella AWSGuida per gli sviluppatori Key Management Service. Non è necessaria nessuna operazione per abilitare l'integrazione MemoryDB conAWS KMS.
La chiave dikms:ViaService condizione limita l'uso di una chiaveAWS KMS alle richieste daAWS servizi specificati. Da utilizzarekms:ViaService con MemoryDB, includi entrambi ViaService i nomi nel valore della chiave della condizione:memorydb.amazon_region.amazonaws.com. Per ulteriori informazioni, consulta kms:ViaService.
Puoi utilizzarlo AWS CloudTrailper tenere traccia delle richieste che MemoryDB for Redis invia a perAWS Key Management Service conto tuo. Tutte le chiamate API aAWS Key Management Service riguardo le chiavi gestite dal cliente hanno CloudTrail registri corrispondenti. Puoi anche vedere le sovvenzioni create da MemoryDB chiamando la chiamata API ListGrantsKMS.
Dopo che un cluster viene crittografato utilizzando una chiave gestita dal cliente, tutte le istantanee del cluster vengono crittografate nel modo seguente:
Le istantanee automatiche giornaliere vengono crittografate utilizzando la chiave gestita dal cliente associata al cluster.
Anche l'istantanea finale creata al momento dell'eliminazione del cluster viene crittografata utilizzando la chiave gestita dal cliente associata al cluster.
Le istantanee create manualmente vengono crittografate per impostazione predefinita per utilizzare la chiave KMS associata al cluster. Puoi sostituirla scegliendo un'altra CMK gestita dal cliente.
La copia di un'istantanea viene impostata in modo di default sull'uso della chiave gestita dal cliente associata all'istantanea fonte. Puoi sostituirla scegliendo un'altra CMK gestita dal cliente.
Nota
-
Le chiavi gestite dal cliente non possono essere utilizzate durante l'esportazione delle istantanee sul bucket Amazon S3 selezionato. Tuttavia, tutte le istantanee esportate in Amazon S3 vengono crittografate utilizzando la crittografia lato server. Puoi scegliere di copiare i file istantanei su un nuovo oggetto S3 e crittografarli utilizzando una chiave gestita dal cliente, copiare i file in un altro bucket S3 configurato con la crittografia predefinita mediante una chiave KMS o modificare l'opzione di crittografia nel file stesso.
-
Puoi anche utilizzare le chiavi gestite dal cliente per crittografare le istantanee create manualmente che non utilizzano chiavi gestite dal cliente per la crittografia. Con questa opzione, il file di istantanea archiviato in Amazon S3 viene crittografato utilizzando una chiave KMS, anche se i dati non sono crittografati sul cluster di fonte.
Il ripristino da un'istantanea consente di scegliere tra le opzioni di crittografia disponibili, simili alle opzioni di crittografia disponibili durante la creazione di un nuovo cluster.
Se si elimina la chiave o si disattiva la chiave e si revocano le concessioni per la chiave utilizzata per crittografare un cluster, il cluster diventa irrecuperabile. In altre parole, non può essere modificato o recuperato dopo un errore hardware. AWS KMS elimina le chiavi master solo dopo un periodo di attesa di almeno sette giorni. Dopo che la chiave è stata eliminata, puoi utilizzare una chiave gestita dal cliente differente per creare un'istantanea per scopi di archiviazione.
La rotazione automatica delle chiavi permette di mantenere le proprietà delle chiavi rootAWS KMS e di conseguenza non ha effetto sulla tua capacità di accedere ai dati MemoryDB. I cluster MemoryDB crittografati non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave root e l'aggiornamento di tutti i riferimenti alla chiave precedente. Per ulteriori informazioni, consulta Rotazione delle chiavi root del cliente nella GuidaAWS per gli sviluppatori di Key Management Service.
La crittografia di un cluster MemoryDB utilizzando la chiave KMS richiede una concessione per cluster. Questa sovvenzione viene utilizzata per tutta la durata del cluster. Inoltre, durante la creazione dell'istantanea viene utilizzata una concessione per istantanea. Questa concessione viene ritirata una volta creata l'istantanea.
Per ulteriori informazioni su concessioni e limitiAWS KMS, consulta Quote nella Guida per gli sviluppatori diAWS Key Management Service.
Vedi anche
