AWS KMS key 管理 - Amazon Relational Database Service
授权使用客户托管密钥Amazon RDS 加密上下文

AWS KMS key 管理

Amazon RDS 自动与 AWS Key Management Service(AWS KMS)集成以进行密钥管理。Amazon RDS 使用信封加密。有关信封加密的更多信息,请参阅 AWS Key Management Service 开发人员指南中的信封加密

您可以使用两种类型的 AWS KMS 密钥来加密数据库实例

  • 要完全控制 KMS 密钥,您必须创建客户托管密钥。有关客户托管密钥的更多信息,请参阅 AWS Key Management Service 开发人员指南中的客户托管密钥

  • AWS 托管式密钥 是由与 AWS KMS 集成的 AWS 服务代表您在账户中创建、管理和使用的 KMS 密钥。默认情况下,RDS AWS 托管式密钥(aws/rds)用于加密。您无法管理、轮换或删除 RDS AWS 托管式密钥。有关 AWS 托管式密钥 的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的 AWS 托管式密钥

要管理用于 Amazon RDS 加密数据库实例的 KMS 密钥,您可以使用 AWS KMS 控制台中的 AWS Key Management Service(AWS KMS)、AWS CLI 或 AWS KMS API。要查看利用 AWS 托管式或客户托管密钥执行的每个操作的审计日志,请使用 AWS CloudTrail。有关密钥轮换的更多信息,请参阅轮换 AWS KMS 密钥

授权使用客户托管密钥

RDS 在加密操作中使用客户托管密钥时,其代表创建或更改 RDS 资源的用户执行操作。

要使用客户托管密钥创建 RDS 资源,用户必须具有对客户托管密钥调用以下操作的权限:

  • kms:CreateGrant

  • kms:DescribeKey

您可以在密钥策略中指定这些所需权限,或者在密钥策略允许的情况下在 IAM 策略中指定这些权限。

提示

为遵循最小特权原则,请不要允许对 kms:CreateGrant 拥有完全访问权限。而是仅当 AWS 服务代表用户创建授权时,才使用 kms:ViaService 条件密钥来支持用户对 KMS 密钥创建授权。

您可以通过各种方式使 IAM 策略更严格。例如,如果您要支持将客户自主管理型密钥仅用于源自 RDS 的请求,请将 kms:ViaService 条件密钥rds.<region>.amazonaws.com 值结合使用。此外,您可以使用Amazon RDS 加密上下文中的密钥或值作为使用客户托管密钥进行加密的条件。

有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的允许其他账户中的用户使用 KMS 密钥AWS KMS 中的密钥策略

Amazon RDS 加密上下文

RDS 使用您的 KMS 密钥时,或者当 Amazon EBS 代表 RDS 使用 KMS 密钥时,服务会指定加密上下文。加密上下文是 AWS KMS 用于确保数据完整性而使用的额外的身份验证数据 (AAD)。在为加密操作指定加密上下文时,该服务必须为解密操作指定同一加密上下文。否则,解密将失败。加密上下文还将写至您的 AWS CloudTrail 日志中,以帮助您了解为什么使用给定的 KMS 密钥。您的 CloudTrail 日志可能包含多个描述 KMS 密钥使用情况的条目,但每个日志条目中的加密上下文可以帮助您确定该特定使用的原因。

至少,Amazon RDS 始终将数据库实例 ID 将用于加密上下文,如以下 JSON 格式的示例所示:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

此加密上下文可以帮助您确定使用您的 KMS 密钥的数据库实例

当您的 KMS 密钥用于特定的数据库实例和特定的 Amazon EBS 卷时,数据库实例 ID 和 Amazon EBS 卷 ID 将用于加密上下文,如以下 JSON 格式的示例所示:

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}