本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS KMS key 管理
Aurora 自動集成 AWS Key Management Service (AWS KMS) 用於金鑰管理。 Aurora 使用信封加密。如需有關信封加密的詳細資訊,請參閱 AWS Key Management Service 開發人員指南。
您可以使用兩種類型的 AWS KMS 加密資料庫叢集的金鑰。
-
如果您想要完全控制KMS金鑰,則必須建立客戶管理的金鑰。如需有關客戶受管金鑰的詳細資訊,請參閱中的客戶管理金鑰 AWS Key Management Service 開發人員指南。
您無法共用已使用 AWS 受管金鑰 的 AWS 共用快照的帳戶。
-
AWS 受管金鑰是您帳戶中代表您建立、管理和使用的KMS金鑰 AWS 與之整合的服務 AWS KMS。 默認情況下,RDS AWS 受管金鑰 (
aws/rds
) 用於加密。您無法管理、旋轉或刪除 RDS AWS 受管金鑰。 有關更多信息 AWS 受管金鑰,請參閱 AWS 受管金鑰 中的 AWS Key Management Service 開發人員指南。
若要管理用於 Aurora 加密資料庫叢集的KMS金鑰,請使用 AWS Key Management Service
(AWS KMS) 中的 AWS KMS 控制
授權使用客戶受管金鑰
當 Aurora 在密碼編譯作業中使用客戶管理的金鑰時,它會代表建立或變更 Aurora 資源的使用者執行操作。
若要使用客戶受管金鑰建立 Aurora 資源,使用者必須擁有對客戶管理金鑰呼叫下列作業的權限:
-
kms:CreateGrant
-
kms:DescribeKey
您可以在金鑰原則中指定這些必要權限,或在金鑰原則允許的情況下,在IAM原則中指定這些必要權限。
提示
若要遵循最低權限原則人,請勿允許 kms:CreateGrant
的完整存取。而是使用 kms: ViaService 條件金鑰,只有在授權是由使用者代表建立使用者時,才允許使用者在金KMS鑰上建立授權 AWS 服務。
您可以通過各種方式使IAM政策更嚴格。例如,如果您想要允許僅將客戶管理的金鑰用於源自 Aurora 的請求,請使用 kms: ViaService 條件金鑰與rds.
值。您也可以使用 Amazon RDS 加密環境 中的金鑰或值作為條件,以便將客戶受管金鑰用於加密。<region>
.amazonaws.com
如需詳細資訊,請參閱允許其他帳戶中的KMS使用者使用 AWS Key Management Service 開發人員指南和關鍵政策 AWS KMS.
Amazon RDS 加密環境
當 Aurora 使用您的KMS金鑰時,或當 Amazon 代表 Aurora EBS 使用KMS金鑰時,服務會指定加密內容。加密上下文是額外的經過身份驗證的數據(AAD) AWS KMS 用於確保數據的完整性。為加密操作指定加密內容時,此服務必須為解密操作指定相同的加密內容。否則,解密會失敗。加密上下文也寫入您的 AWS CloudTrail
Aurora 至少一律使用資料庫執行個體 ID 作為加密內容,如以下JSON格式化範例所示:
{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }
此加密內容可協助您識別使用KMS金鑰的資料庫執行個體。
當您的KMS金鑰用於特定資料庫執行個體和特定 Amazon EBS 磁碟區時,資料庫執行個體 ID 和 Amazon EBS 磁碟區 ID 都會用於加密內容,如以下JSON格式化範例所示:
{ "aws:rds:dbc-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }