Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Criptografando dados em repouso em seu banco de dados Amazon Neptune

PDF
RSS
Modo de foco
Criptografando dados em repouso em seu banco de dados Amazon Neptune - Amazon Neptune
Habilitar a criptografiaPermissões de chaveLimitações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As instâncias criptografadas do Neptune fornecem uma camada adicional de proteção de dados, ajudando a proteger os dados contra acesso não autorizado ao armazenamento subjacente. É possível usar a criptografia do Neptune para aumentar a segurança dos dados das aplicações implantadas na nuvem. Você também pode usá-lo para atender aos requisitos de conformidade para data-at-rest criptografia.

Para gerenciar as chaves usadas para criptografar e descriptografar seus recursos do Neptune, você usa ().AWS Key Management ServiceAWS KMS AWS KMS combina hardware e software seguros e de alta disponibilidade para fornecer um sistema de gerenciamento de chaves dimensionado para a nuvem. Usando AWS KMS, você pode criar chaves de criptografia e definir as políticas que controlam como essas chaves podem ser usadas. AWS KMS suporta AWS CloudTrail, para que você possa auditar o uso das chaves para verificar se as chaves estão sendo usadas adequadamente. Você pode usar suas AWS KMS chaves em combinação com o Neptune e serviços AWS compatíveis, como Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS) e Amazon Redshift. Para obter uma lista dos serviços que oferecem suporte AWS KMS, consulte Como AWS os serviços são usados AWS KMS no Guia do AWS Key Management Service desenvolvedor.

Todos os logs, backups e snapshots são criptografados para uma instância criptografada do Neptune.

Habilitar a criptografia para uma instância de banco de dados do Neptune

Para habilitar a criptografia para uma nova instância de banco de dados do Neptune, selecione Sim na seção Habilitar criptografia no console do Neptune. Para obter informações sobre como criar uma instância de banco de dados do Neptune, consulte Criação de um cluster do Amazon Neptune.

Ao criar uma instância de banco de dados Neptune criptografada, você também pode fornecer AWS KMS o identificador de chave para sua chave de criptografia. Se você não especificar um identificador de AWS KMS chave, o Neptune usará sua chave de criptografia padrão do Amazon RDS aws/rds () para sua nova instância de banco de dados Neptune. AWS KMS cria sua chave de criptografia padrão para Neptune para sua conta. AWS Sua AWS conta tem uma chave de criptografia padrão diferente para cada AWS região.

Depois de criar uma instância de banco de dados criptografada do Neptune, não é possível alterar a chave de criptografia para essa instância. Portanto, determine os requisitos da chave de criptografia antes de criar a instância de banco de dados do Neptune criptografada.

Você pode usar o nome do recurso da Amazon (ARN) de uma chave de outra conta para criptografar uma instância de banco de dados do Neptune. Se você criar uma instância de banco de dados Neptune com a AWS mesma conta que possui AWS KMS a chave de criptografia usada para criptografar essa nova instância de banco de dados Neptune AWS KMS , o ID da chave que você passa pode AWS KMS ser o alias da chave em vez do ARN da chave.

Importante

Se o Neptune perder o acesso à chave de criptografia de uma instância de banco de dados do Neptune, por exemplo, quando o acesso do Neptune a uma chave for revogado, a instância de banco de dados criptografada será colocada em estado terminal e só poderá ser restaurada a partir de um backup. É altamente recomendável que você sempre habilite backups para instâncias de banco de dados criptografadas do Neptune para se proteger contra a perda de dados criptografados nos bancos de dados.

Permissões de chave necessárias ao habilitar a criptografia

O usuário ou o perfil do IAM que está criando uma instância de banco de dados criptografada do Neptune deve ter pelo menos as seguintes permissões para a chave do KMS:

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:GenerateDataKey"

  • "kms:ReEncryptTo"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:CreateGrant"

  • "kms:ReEncryptFrom"

  • "kms:DescribeKey"

Veja um exemplo de política de chave que inclui as permissões necessárias:

{
  "Version": "2012-10-17",
  "Id": "key-consolepolicy-3",
  "Statement": [
    {
      "Sid": "Enable Permissions for root principal",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key for Neptune",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptTo",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:CreateGrant",
        "kms:ReEncryptFrom",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Deny use of the key for non Neptune",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

  • A primeira declaração desta política é opcional. Ela concede acesso à entidade principal raiz do usuário.

  • A segunda declaração fornece acesso a tudo o que é necessário AWS KMS APIs para essa função, com escopo reduzido ao Diretor de Serviço do RDS.

  • A terceira declaração aumenta ainda mais a segurança ao impor que essa chave não pode ser usada por essa função em nenhum outro serviço. AWS

Você também pode reduzir ainda mais o escopo das permissões createGrant adicionando:

"Condition": {
  "Bool": {
    "kms:GrantIsForAWSResource": true
  }
}

Limitações da criptografia do Neptune

Existem as seguintes limitações para a criptografia de clusters do Neptune:

  • Não é possível converter um cluster de banco de dados não criptografado em um criptografado.

    Além disso, é possível restaurar um snapshot de cluster de banco de dados não criptografado do para um cluster de banco de dados criptografado do . Para fazer isso, especifique uma chave de criptografia do KMS ao restaurar a partir do snapshot do cluster de banco de dados não criptografado.

  • Não é possível converter uma instância de banco de dados não criptografada em uma criptografado. Você só pode habilitar a criptografia para uma instância de banco de dados ao criá-la.

  • Além disso, as instâncias criptografadas de bancos de dados não podem ser modificadas para desabilitar a criptografia.

  • Você não pode ter uma réplica de leitura criptografada de uma instância de banco de dados não criptografada nem uma réplica de leitura não criptografada de uma instância de banco de dados criptografada.

  • Réplicas de leitura criptografadas devem ser criptografadas com a mesma chave que a instância do banco de dados de origem.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.