As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso no MemoryDB
Para ajudar a manter seus dados seguros, o MemoryDB e o Amazon S3 oferecem maneiras diferentes de restringir o acesso aos dados em seus clusters. Para ter mais informações, consulte MemoryDB e Amazon VPC e Gerenciamento de identidade e acesso no MemoryDB.
A criptografia em repouso do MemoryDB está sempre ativada para aumentar a segurança dos dados por meio da criptografia de dados persistentes. Ele criptografa os seguintes aspectos:
-
Dados no log de transações
-
Disco durante operações de sincronização, snapshot e swap
-
Snapshots armazenados no Amazon S3
O MemoryDB oferece criptografia padrão (gerenciada pelo serviço) em repouso, bem como a capacidade de usar suas próprias chaves raiz simétricas do cliente gerenciadas pelo cliente no AWS Key Management Service (). KMS
Os dados armazenados em SSDs (unidades de estado sólido) em clusters habilitados para armazenamento de dados em camadas são sempre criptografados por padrão.
Para obter informações sobre criptografia em trânsito, consulte Criptografia em trânsito (TLS) no MemoryDB
Usando chaves gerenciadas pelo cliente de AWS KMS
O MemoryDB suporta chaves raiz simétricas gerenciadas pelo cliente (KMSchave) para criptografia em repouso. KMSAs chaves gerenciadas pelo cliente são chaves de criptografia que você cria, possui e gerencia em sua AWS conta. Para obter mais informações, consulte Chaves raiz do cliente no Guia do desenvolvedor do serviço de gerenciamento de chaves da AWS . As chaves devem ser criadas AWS KMS antes de poderem ser usadas com o MemoryDB.
Para saber como criar chaves AWS KMS raiz, consulte Criação de chaves no Guia do desenvolvedor do AWS Key Management Service.
O MemoryDB permite que você se integre com. AWS KMS Para obter mais informações, consulte Uso de concessões no Guia do desenvolvedor do serviço de gerenciamento de chaves da AWS . Nenhuma ação do cliente é necessária para permitir a integração do MemoryDB com o. AWS KMS
A chave de kms:ViaService
condição limita o uso de uma AWS KMS chave às solicitações de AWS serviços especificados. Para usar kms:ViaService
com o MemoryDB, inclua os dois ViaService nomes no valor da chave de condição:. memorydb.amazon_region.amazonaws.com
Para maiores informações, veja kms: ViaService.
Você pode usar AWS CloudTrailpara rastrear as solicitações que o MemoryDB envia AWS Key Management Service em seu nome. Todas as API chamadas AWS Key Management Service relacionadas às chaves gerenciadas pelo cliente têm CloudTrail registros correspondentes. Você também pode ver as concessões que o MemoryDB cria ao chamar a ListGrantsKMSAPIchamada.
Quando um cluster é criptografado usando uma chave gerenciada pelo cliente, todos os snapshots do cluster são criptografados da seguinte forma:
Os snapshots diários automáticos são criptografados usando a chave gerenciada pelo cliente associada ao cluster.
O snapshot final criado quando o cluster é excluído também é criptografado usando a chave gerenciada pelo cliente associada ao cluster.
Os instantâneos criados manualmente são criptografados por padrão para usar a KMS chave associada ao cluster. Você pode substituir escolhendo outra chave gerenciada pelo cliente.
A cópia de um snapshot tem como padrão o uso da chave gerenciada pelo cliente associada ao snapshot de origem. Você pode substituir escolhendo outra chave gerenciada pelo cliente.
nota
-
As chaves gerenciadas pelo cliente não podem ser usadas ao exportar snapshots para o bucket do Amazon S3 selecionado. No entanto, todos os snapshots exportados para o Amazon S3 são criptografados usando a criptografia do lado do servidor. Você pode optar por copiar o arquivo de instantâneo em um novo objeto do S3 e criptografar usando uma KMS chave gerenciada pelo cliente, copiar o arquivo para outro bucket do S3 configurado com criptografia padrão usando uma KMS chave ou alterar uma opção de criptografia no próprio arquivo.
-
Você também pode usar chaves gerenciadas pelo cliente para criptografar snapshots criados manualmente que não usam chaves gerenciadas pelo cliente para criptografia. Com essa opção, o arquivo de snapshot armazenado no Amazon S3 é criptografado usando KMS uma chave, mesmo que os dados não estejam criptografados no cluster original.
A restauração a partir de um snapshot permite que você escolha entre as opções de criptografia disponíveis, de forma semelhante às opções de criptografia disponíveis ao criar um novo cluster.
Se você excluir a chave ou desativar a chave e revogar as concessões para a chave que usou para criptografar um cluster, o cluster se tornará irrecuperável. Em outras palavras, ele não pode ser modificado ou recuperado após uma falha de hardware. AWS KMSexclui as chaves raiz somente após um período de espera de pelo menos sete dias. Depois que a chave for excluída, você poderá usar uma chave gerenciada pelo cliente diferente para criar um snapshot para fins de arquivamento.
A rotação automática de chaves preserva as propriedades de suas chaves AWS KMS raiz, portanto, a rotação não afeta sua capacidade de acessar seus dados do MemoryDB. Os clusters criptografados do MemoryDB não são compatíveis com a rotação manual de chaves, o que envolve a criação de uma nova chave raiz e a atualização de todas as referências à chave antiga. Para saber mais, consulte Rotação das chaves raiz do cliente no Guia do desenvolvedor do Key Management Service da AWS .
Criptografar um cluster MemoryDB usando a KMS chave requer uma concessão por cluster. Essa concessão é usada durante toda a vida útil do cluster. Além disso, uma concessão por snapshot é usada durante a criação do snapshot. Essa concessão é suspensa quando o snapshot é criado.
Para obter mais informações sobre AWS KMS concessões e limites, consulte Cotas no Guia do desenvolvedor do AWS Key Management Service.