Crittografia a riposo: come funziona in Amazon QLDB - Database Amazon Quantum Ledger (Amazon) QLDB
Chiave di proprietà di AWSChiave gestita dal clienteIn che modo QLDB utilizza le sovvenzioniRipristino delle sovvenzioniConsiderazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia a riposo: come funziona in Amazon QLDB

QLDBla crittografia a riposo crittografa i dati utilizzando Advanced Encryption Standard a 256 bit (AES-256). Questo aiuta a proteggere i dati dall'accesso non autorizzato allo storage sottostante. Per impostazione predefinita, tutti i dati archiviati nei QLDB registri sono crittografati quando sono inattivi. La crittografia lato server è trasparente, il che significa che non sono necessarie modifiche alle applicazioni.

Encryption at rest si integra con AWS Key Management Service (AWS KMS) per la gestione della chiave di crittografia utilizzata per proteggere i registri. QLDB Quando si crea un nuovo registro o si aggiorna un registro esistente, è possibile scegliere uno dei seguenti tipi di chiavi: AWS KMS

  • Chiave di proprietà di AWS— Il tipo di crittografia predefinito. La chiave è di proprietà di QLDB (senza costi aggiuntivi).

  • Chiave gestita dal cliente: la chiave viene archiviata presso di te Account AWS e viene creata, posseduta e gestita da te. Hai il pieno controllo della chiave (a AWS KMS pagamento).

Chiave di proprietà di AWS

Chiavi di proprietà di AWS non sono archiviati nel tuo Account AWS. Fanno parte di una raccolta di KMS chiavi che AWS possiede e gestisce per essere utilizzate in più lingue Account AWS. Servizi AWS possono essere utilizzati Chiavi di proprietà di AWS per proteggere i tuoi dati.

Non è necessario creare o gestire Chiavi di proprietà di AWS. Tuttavia, non puoi visualizzarne Chiavi di proprietà di AWS, tracciarne o controllarne l'utilizzo. Non ti viene addebitata una tariffa mensile o una tariffa di utilizzo per Chiavi di proprietà di AWS e non vengono conteggiate nelle AWS KMS quote del tuo account.

Per ulteriori informazioni, consulta la sezione Chiavi di proprietà di AWS nella Guida per gli sviluppatori di AWS Key Management Service .

Chiave gestita dal cliente

Le chiavi gestite dal cliente sono KMS chiavi Account AWS che crei, possiedi e gestisci. Hai il pieno controllo su queste KMS chiavi. QLDBsupporta solo KMS chiavi di crittografia simmetriche.

Utilizza una chiave gestita dal cliente per ottenere le seguenti caratteristiche:

  • Impostazione e gestione delle politiche, delle politiche e IAM delle concessioni chiave per il controllo dell'accesso alla chiave

  • Attivazione e disattivazione della chiave

  • Materiale crittografico rotante per la chiave

  • Creazione di tag e alias chiave

  • Pianificazione della chiave per l'eliminazione

  • Importazione del materiale chiave personalizzato o utilizzo di un archivio di chiavi personalizzato di tua proprietà e gestione

  • Utilizzo AWS CloudTrail di Amazon CloudWatch Logs per tenere traccia delle richieste QLDB inviate a per tuo AWS KMS conto

Per ulteriori informazioni, consulta Customer managed keys nella Guida per sviluppatori AWS Key Management Service .

Le chiavi gestite dal cliente comportano un addebito per ogni API chiamata e a queste chiavi si applicano delle AWS KMS quote. KMS Per ulteriori informazioni, consulta le quote relative alle AWS KMS risorse o alle richieste.

Quando si specifica una chiave gestita dal cliente come KMS chiave per un registro, tutti i dati contabili sia nell'archiviazione delle scritture contabili che nell'archiviazione indicizzata vengono protetti con la stessa chiave gestita dal cliente.

Chiavi gestite dal cliente inaccessibili

Se disabiliti la chiave gestita dal cliente, pianifichi l'eliminazione della chiave o revochi le concessioni sulla chiave, lo stato della crittografia del registro diventa. KMS_KEY_INACCESSIBLE In questo stato, il registro è danneggiato e non accetta richieste di lettura o scrittura. Una chiave inaccessibile impedisce a tutti gli utenti e al QLDB servizio di crittografare o decrittografare i dati e di eseguire operazioni di lettura e scrittura nel registro. QLDBdeve avere accesso alla KMS chiave per garantire che sia possibile continuare ad accedere al registro e prevenire la perdita di dati.

Importante

Un registro danneggiato torna automaticamente allo stato attivo dopo aver ripristinato le autorizzazioni sulla chiave o dopo aver riattivato la chiave che era disabilitata.

Tuttavia, l'eliminazione di una chiave gestita dal cliente è irreversibile. Dopo l'eliminazione di una chiave, non è più possibile accedere ai registri protetti con tale chiave e i dati diventano irrecuperabili in modo permanente.

Per verificare lo stato di crittografia di un registro, usa l'operazione o. AWS Management Console DescribeLedgerAPI

In che modo Amazon QLDB utilizza le sovvenzioni in AWS KMS

QLDBrichiede sovvenzioni per utilizzare la chiave gestita dal cliente. Quando crei un registro protetto con una chiave gestita dal cliente, QLDB crea sovvenzioni per tuo conto CreateGrantinviando richieste a. AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per QLDB consentire l'accesso a una KMS chiave in un cliente. Account AWS Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo delle concessioni nella Guida per gli sviluppatori di AWS Key Management Service .

QLDBrichiede che le concessioni utilizzino la chiave gestita dal cliente per le seguenti operazioni: AWS KMS

  • DescribeKey— Verificare che la KMS chiave di crittografia simmetrica specificata sia valida.

  • GenerateDataKey— Genera una chiave dati simmetrica unica da QLDB utilizzare per crittografare i dati inattivi nel registro.

  • Decrittografa: decrittografa la chiave dati che è stata crittografata dalla chiave gestita dal cliente.

  • Crittografa: crittografa il testo non crittografato in testo cifrato utilizzando la chiave gestita dal cliente.

Puoi revocare una concessione per rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, la chiave diventa inaccessibile e QLDB perde l'accesso a tutti i dati del registro protetti dalla chiave gestita dal cliente. In questo stato, il registro è danneggiato e non accetta alcuna richiesta di lettura o scrittura finché non ripristini le autorizzazioni sulla chiave.

Ripristino delle sovvenzioni in AWS KMS

Per ripristinare le concessioni su una chiave gestita dal cliente e ripristinare l'accesso a un registroQLDB, è possibile aggiornare il registro e specificare la stessa chiave. KMS Per istruzioni, consulta Aggiornamento AWS KMS key di un libro mastro esistente.

Considerazioni sulla crittografia a riposo

Considerate quanto segue quando utilizzate la crittografia a riposo inQLDB:

  • La crittografia a riposo sul lato server è abilitata per impostazione predefinita su tutti i dati del QLDB registro e non può essere disabilitata. Non è possibile crittografare solo un sottoinsieme di dati in un registro.

  • La crittografia dei dati inattivi crittografa i dati mentre è statica (dati inattivi) su media di storage persistente. Se la sicurezza dei dati è un problema per i dati in transito o per i dati in uso, potrebbe essere necessario adottare le seguenti misure aggiuntive:

    • Dati in transito: tutti i dati in ingresso QLDB vengono crittografati durante il transito. Per impostazione predefinita, le comunicazioni da e verso il destinatario QLDB utilizzano il HTTPS protocollo, che protegge il traffico di rete utilizzando la crittografia Secure Sockets Layer (SSL) /Transport Layer Security (TLS).

    • Dati in uso: proteggete i dati prima di inviarli QLDB utilizzando la crittografia lato client.

Per scoprire come implementare le chiavi gestite dai clienti per i registri, procedi a. Utilizzo di chiavi gestite dai clienti in Amazon QLDB