Crittografia a riposo: come funziona in Amazon QLDB - Database Amazon Quantum Ledger (Amazon QLDB)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia a riposo: come funziona in Amazon QLDB

La crittografia QLDB a riposo crittografa i dati utilizzando l'Advanced Encryption Standard (AES-256) a 256 bit. Questo aiuta a proteggere i dati dall'accesso non autorizzato allo storage sottostante. Per impostazione predefinita, tutti i dati archiviati nei registri QLDB sono crittografati quando sono inattivi. La crittografia lato server è trasparente, il che significa che non sono necessarie modifiche alle applicazioni.

Encryption at rest si integra con AWS Key Management Service (AWS KMS) per la gestione della chiave di crittografia utilizzata per proteggere i registri QLDB. Quando si crea un nuovo registro o si aggiorna un registro esistente, è possibile scegliere uno dei seguenti tipi di chiavi: AWS KMS

  • Chiave di proprietà di AWS— Il tipo di crittografia predefinito. La chiave è di proprietà di QLDB (senza costi aggiuntivi).

  • Chiave gestita dal cliente: la chiave viene archiviata presso di te Account AWS e viene creata, posseduta e gestita da te. Hai il pieno controllo della chiave (a AWS KMS pagamento).

Chiave di proprietà di AWS

Chiavi di proprietà di AWS non sono archiviati nel tuo Account AWS. Fanno parte di una raccolta di chiavi KMS che AWS possiede e gestisce per essere utilizzate in più Account AWS lingue. Servizi AWS può essere utilizzato Chiavi di proprietà di AWS per proteggere i tuoi dati.

Non è necessario creare o gestire Chiavi di proprietà di AWS. Tuttavia, non puoi visualizzarne Chiavi di proprietà di AWS, tracciarne o controllarne l'utilizzo. Non ti viene addebitata una tariffa mensile o una tariffa di utilizzo per Chiavi di proprietà di AWS e non vengono conteggiate nelle AWS KMS quote del tuo account.

Per ulteriori informazioni, consulta la sezione Chiavi di proprietà di AWS nella Guida per gli sviluppatori di AWS Key Management Service .

Chiave gestita dal cliente

Le chiavi gestite dal cliente sono chiavi KMS Account AWS che crei, possiedi e gestisci. Hai il pieno controllo su queste chiavi KMS. QLDB supporta solo chiavi KMS con crittografia simmetrica.

Utilizza una chiave gestita dal cliente per ottenere le seguenti caratteristiche:

  • Impostazione e gestione delle politiche chiave, delle politiche IAM e delle concessioni per il controllo dell'accesso alla chiave

  • Abilitazione e disabilitazione della chiave

  • Materiale crittografico rotante per la chiave

  • Creazione di tag e alias chiave

  • Pianificazione della chiave per l'eliminazione

  • Importazione del materiale chiave personalizzato o utilizzo di un archivio di chiavi personalizzato di tua proprietà e gestione

  • Utilizzo AWS CloudTrail di Amazon CloudWatch Logs per tenere traccia delle richieste a cui QLDB invia per tuo conto AWS KMS

Per ulteriori informazioni, consulta Customer managed keys nella Guida per sviluppatori AWS Key Management Service .

Le chiavi gestite dal cliente comportano un addebito per ogni chiamata API e a queste chiavi KMS si applicano AWS KMS delle quote. Per ulteriori informazioni, consulta le AWS KMS risorse o richiedi quote.

Quando si specifica una chiave gestita dal cliente come chiave KMS per un registro, tutti i dati contabili presenti sia nell'archiviazione delle scritture contabili che nell'archiviazione indicizzata vengono protetti con la stessa chiave gestita dal cliente.

Chiavi gestite dal cliente inaccessibili

Se disabiliti la chiave gestita dal cliente, pianifichi l'eliminazione della chiave o revochi le concessioni sulla chiave, lo stato della crittografia del registro diventa. KMS_KEY_INACCESSIBLE In questo stato, il registro è danneggiato e non accetta richieste di lettura o scrittura. Una chiave inaccessibile impedisce a tutti gli utenti e al servizio QLDB di crittografare o decrittografare i dati e di eseguire operazioni di lettura e scrittura nel registro. QLDB deve avere accesso alla tua chiave KMS per assicurarti di poter continuare ad accedere al tuo registro e prevenire la perdita di dati.

Importante

Un registro danneggiato torna automaticamente allo stato attivo dopo aver ripristinato le autorizzazioni sulla chiave o dopo aver riattivato la chiave che era disabilitata.

Tuttavia, l'eliminazione di una chiave gestita dal cliente è irreversibile. Dopo l'eliminazione di una chiave, non è più possibile accedere ai registri protetti con tale chiave e i dati diventano irrecuperabili in modo permanente.

Per verificare lo stato di crittografia di un registro, utilizza l'operazione o l' AWS Management Console API. DescribeLedger

In che modo Amazon QLDB utilizza le sovvenzioni in AWS KMS

QLDB richiede sovvenzioni per utilizzare la chiave gestita dal cliente. Quando crei un registro protetto con una chiave gestita dal cliente, QLDB crea sovvenzioni per tuo conto inviando richieste a. CreateGrant AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire a QLDB di accedere a una chiave KMS in un cliente. Account AWS Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo delle concessioni nella Guida per gli sviluppatori di AWS Key Management Service .

QLDB richiede le sovvenzioni per utilizzare la chiave gestita dal cliente per le seguenti operazioni: AWS KMS

  • DescribeKey— Verifica che la chiave KMS di crittografia simmetrica specificata sia valida.

  • GenerateDataKey— Genera una chiave dati simmetrica unica che QLDB utilizza per crittografare i dati inattivi nel registro.

  • Decrittografa: decrittografa la chiave dati che è stata crittografata dalla chiave gestita dal cliente.

  • Crittografa: crittografa il testo non crittografato in testo cifrato utilizzando la chiave gestita dal cliente.

Puoi revocare una concessione per rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, la chiave diventa inaccessibile e QLDB perde l'accesso a tutti i dati del registro protetti dalla chiave gestita dal cliente. In questo stato, il registro è danneggiato e non accetta alcuna richiesta di lettura o scrittura finché non ripristini le autorizzazioni sulla chiave.

Ripristino delle sovvenzioni in AWS KMS

Per ripristinare le concessioni su una chiave gestita dal cliente e ripristinare l'accesso a un registro in QLDB, puoi aggiornare il registro e specificare la stessa chiave KMS. Per istruzioni, consulta Aggiornamento AWS KMS key di un libro mastro esistente.

Considerazioni sulla crittografia a riposo

Considera quanto segue quando utilizzi la crittografia a riposo in QLDB:

  • La crittografia lato server a riposo è abilitata per impostazione predefinita su tutti i dati del registro QLDB e non può essere disabilitata. Non è possibile crittografare solo un sottoinsieme di dati in un registro.

  • La crittografia dei dati inattivi crittografa i dati mentre è statica (dati inattivi) su media di storage persistente. Se la sicurezza dei dati è un problema per i dati in transito o per i dati in uso, potrebbe essere necessario adottare le seguenti misure aggiuntive:

    • Dati in transito: tutti i tuoi dati in QLDB sono crittografati durante il transito. Per impostazione predefinita, le comunicazioni da e verso QLDB utilizzano il protocollo HTTPS, che protegge il traffico di rete utilizzando la crittografia Secure Sockets Layer (SSL) /Transport Layer Security (TLS).

    • Dati in uso: proteggi i tuoi dati prima di inviarli a QLDB utilizzando la crittografia lato client.

Per scoprire come implementare le chiavi gestite dai clienti per i registri, procedi a. Utilizzo di chiavi gestite dal cliente in Amazon QLDB