本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
MemoryDB 中的静态加密
为了帮助保护您的数据安全,MemoryDB 和 Amazon S3 提供了不同的方式来限制对集群中数据的访问。有关更多信息,请参阅MemoryDB 和 Amazon VPC 和MemoryDB 中的身份和访问管理。
MemoryDB 静态加密始终通过加密永久数据来提高数据安全性。它对以下方面进行加密:
-
事务日志中的数据
-
同步、快照和交换操作期间的磁盘
-
存储在 Amazon S3 中的快照
MemoryDB 提供默认(服务托管)的静态加密,并且能够在密钥管理服务()中AWS 使用您自己的对称客户托管客户根密钥。KMS
默认情况下,存储在启用数据分层的集群中SSDs(固态驱动器)上的数据始终处于加密状态。
有关传输中加密的信息,请参阅MemoryDB 中的传输加密 (TLS)
使用来自的客户托管密钥 AWS KMS
MemoryDB 支持对称的客户托管根密钥(密KMS钥)进行静态加密。客户管理的KMS密钥是您在 AWS 账户中创建、拥有和管理的加密密钥。有关更多信息,请参阅AWS 密钥管理服务开发人员指南中的客户根密钥。必须 AWS KMS先在中创建密钥,然后才能将其与 MemoryDB 一起使用。
要了解如何创建 AWS KMS根密钥,请参阅《密AWS 钥管理服务开发者指南》中的创建密钥。
MemoryDB 允许你与集成。 AWS KMS有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的使用授权。无需客户采取任何措施即可启用 MemoryDB 与集成。 AWS KMS
kms:ViaService
条件密钥将密 AWS KMS钥的使用限制为来自指定 AWS 服务的请求。要kms:ViaService
与 MemoryDB 一起使用,请在条件键值中包含两个 ViaService 名称:。memorydb.amazon_region.amazonaws.com
有关更多信息,请参阅 kms: ViaService。
您可以使用AWS CloudTrail来跟踪 MemoryDB 代表您发送 AWS Key Management Service 的请求。与客户托管密钥 AWS Key Management Service 相关的所有API呼叫都有相应的 CloudTrail 日志。您还可以通过调用查看 MemoryDB 创建的授权。ListGrantsKMSAPI
使用客户托管式密钥对集群进行加密后,集群的所有快照都将按如下方式进行加密:
使用与集群关联的客户托管式密钥对每日自动快照进行加密。
删除集群时创建的最终快照也使用与集群关联的客户托管式密钥进行加密。
默认情况下,手动创建的快照会使用与集群关联的KMS密钥进行加密。您可以通过选择其他客户自主管理型密钥来覆此行为。
复制快照将默认使用与源快照关联的客户托管式密钥。您可以通过选择其他客户自主管理型密钥来覆此行为。
注意
-
将快照导出到所选的 Amazon S3 存储桶时,无法使用客户托管式密钥。但是,导出到 Amazon S3 的所有快照都将使用服务器端加密进行加密。您可以选择将快照文件复制到新的 S3 对象并使用客户托管KMS密钥进行加密,将文件复制到另一个使用KMS密钥设置为默认加密的 S3 存储桶,或者更改文件本身中的加密选项。
-
对于未使用客户托管式密钥进行加密的手动创建快照,您还可以使用客户托管式密钥对其进行加密。使用此选项,即使原始集群上的数据未加密,存储在 Amazon S3 中的快照文件也会使用KMS密钥进行加密。
从快照还原允许您从可用的加密选项中进行选择,类似于创建新集群时可用的加密选项。
如果删除密钥或禁用密钥并为用于加密集群的密钥撤销授权,则集群将变得不可恢复。换句话说,硬件故障后无法对其进行修改或恢复。 AWS KMS只有在等待至少七天后才会删除根密钥。删除密钥后,您可以使用其他客户托管式密钥创建快照以用于存档目的。
自动密钥轮换会保留 AWS KMS根密钥的属性,因此轮换不会影响您访问 MemoryDB 数据的能力。加密 MemoryDB 集群不支持手动密钥轮换,手动密钥轮换涉及创建新的根密钥和将任何参考更新到旧密钥。要了解详情,请参阅AWS 密钥管理服务开发人员指南中的轮换客户根密钥。
使用密KMS钥加密 MemoryDB 集群需要为每个集群提供一次授权。在集群的整个生命周期中使用此授权。此外,在快照创建期间使用每个快照一个授权。在创建快照后,此授权将停用。
有关 AWS KMS授权和限制的更多信息,请参阅《AWS 密钥管理服务开发者指南》中的配额。