静态加密:它在亚马逊中的运作方式 QLDB - 亚马逊 Quantum Ledger 数据库(亚马逊QLDB)
AWS 拥有的密钥客户托管密钥如何QLDB使用补助金还原授权注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密:它在亚马逊中的运作方式 QLDB

QLDB静态加密使用 256 位高级加密标准 (AES-256) 加密您的数据。这有助于保护您的数据,防止对底层存储进行未经授权的访问。默认情况下,所有存储在QLDB账本中的数据都是静态加密的。服务器端加密是透明的,这意味着不需要对应用程序进行更改。

静态加密与 AWS Key Management Service (AWS KMS) 集成,用于管理用于保护QLDB账本的加密密钥。在创建新账本或更新现有账本时,您可以选择以下类型的 AWS KMS ​​:

  • AWS 拥有的密钥 – 默认加密类型。钥匙归所有QLDB(不收取额外费用)。

  • 客户托管的密钥 - 此密钥存储在您的 AWS 账户 中,由您创建、拥有和托管。您可以完全控制钥匙(AWS KMS 收费)。

AWS 拥有的密钥

AWS 拥有的密钥 没有存储在你的 AWS 账户。它们是 AWS 拥有和管理的KMS密钥集合的一部分,用于多个密钥 AWS 账户。 AWS 服务 可以 AWS 拥有的密钥 用来保护您的数据。

您无需创建或管理 AWS 拥有的密钥。但是,您无法查看 AWS 拥有的密钥、跟踪或审核它们的使用情况。您无需支付月费或使用费 AWS 拥有的密钥,也不会计入您账户的 AWS KMS 配额。

有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的 AWS 拥有的密钥

客户托管密钥

客户管理的密KMS钥 AWS 账户 是您创建、拥有和管理的密钥。您可以完全控制这些KMS按键。QLDB仅支持对称加密KMS密钥。

使用客户托管密钥可获得以下功能:

  • 设置和维护密钥策略、IAM策略和授权,以控制对密钥的访问权限

  • 启用和禁用密钥

  • 轮换密钥的加密材料

  • 创建密钥标签和别名

  • 安排删除 KMS 密钥

  • 导入您自己的密钥材料或使用您拥有和托管的自定义密钥存储

  • 使用 AWS CloudTrail 和 Ama CloudWatch zon Logs 来跟踪 AWS KMS 代表您QLDB发送的请求

有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的客户托管密钥

客户托管的密钥每次API通话都会产生费用,并且 AWS KMS 配额适用于这些KMS密钥。有关更多信息,请参阅 AWS KMS 资源或请求限额

当您将客户托管密钥指定为账本的KMS密钥时,日记账存储和索引存储中的所有账本数据都将使用相同的客户托管密钥进行保护。

无法访问客户托管的密钥

如果您禁用客户托管密钥、计划删除密钥或撤销对密钥的授权,则分类账加密状态将变为 KMS_KEY_INACCESSIBLE。在这种状态下,分类账会受损,不接受任何读取或写入请求。无法访问的密钥会阻止所有用户和QLDB服务加密或解密数据,也无法在账本中执行读写操作。QLDB必须有权访问您的KMS密钥,以确保您可以继续访问账本并防止数据丢失。

重要

在您恢复对密钥的授权或重新启用已禁用的密钥之后,受损分类账会自动返回至活动状态。

但是,删除客户托管的密钥是不可逆的。删除密钥后,您将无法再访问使用该密钥保护的分类账,数据将永久无法恢复

要检查账本的加密状态,请使用 AWS Management Console 或DescribeLedgerAPI操作。

亚马逊如何QLDB使用补助金 AWS KMS

QLDB需要授权才能使用您的客户托管密钥。当您创建受客户托管密钥保护的账本时,QLDB会通过向发送CreateGrant请求来代表您创建授权 AWS KMS。中的授权 AWS KMS 用于授予对客户KMS密钥的QLDB访问权限 AWS 账户。有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的使用授权

QLDB需要授权才能使用您的客户托管密钥进行以下 AWS KMS 操作:

  • DescribeKey— 验证指定的对称加密KMS密钥是否有效。

  • GenerateDataKey— 生成一个唯一的对称数据密钥,QLDB用于加密账本中的静态数据。

  • Decrypt - 解密客户托管式密钥加密的数据。

  • 加密 - 使用您的客户托管密钥将明文加密为密文。

您可以随时撤消针对授权的访问权限,也可以移除服务访问客户托管密钥的权限。如果这样做,密钥将无法访问,并且QLDB无法访问受客户托管密钥保护的任何账本数据。在这种状态下,分类账受损,在您恢复对密钥的授权之前,分类账不接受任何读取或写入请求。

恢复 AWS KMS中的授权

要恢复对客户托管密钥的授权并恢复对中账本的访问权限QLDB,您可以更新账本并指定相同的KMS密钥。有关说明,请参阅 更新现有分类账的 AWS KMS key

使用静态加密时的注意事项

在中使用静态加密时,请考虑以下几点QLDB:

  • 默认情况下,所有QLDB账本数据都启用服务器端静态加密,且无法禁用。无法仅加密分类账中的子集。

  • 静态加密仅加密持久存储介质上的静态数据。如果正在传输的数据或正在使用的数据担心数据安全,则可能需要采取额外措施:

    • 传输中的数据:您的所有数据在传输过程中QLDB都经过加密。默认情况下,进出通信QLDB使用该HTTPS协议,该协议使用安全套接字层 (SSL) /传输层安全 (TLS) 加密来保护网络流量。

    • 正在使用的@@ 数据:使用客户端加密在将数据发送到QLDB之前对其进行保护。

要了解如何为分类账实现客户托管密钥,请继续 在 Amazon 中使用客户托管的密钥 QLDB