本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

加密 Amazon DocumentDB 中的靜態數據

您可以在建立叢集時指定儲存加密選項，來加密 Amazon DocumentDB 叢集中的靜態資料。儲存加密功能一經啟用，範圍擴及整個叢集，並套用到所有執行個體，包括主執行個體和任何複本。它也會套用至叢集的儲存磁碟區、資料、索引、日誌、自動備份和快照。

Amazon DocumentDB 使用 256 位元進階加密標準 (AES-256)，使用儲存在 () 中的加密金鑰來加密您的資料。 AWS Key Management Service AWS KMS使用已啟用靜態加密的 Amazon DocumentDB 叢集時，不需要修改應用程式邏輯或用戶端連線。Amazon DocumentDB 會透明地處理資料的加密和解密，對效能的影響降到最低。

Amazon DocumentDB 整合 AWS KMS 並使用稱為信封加密的方法來保護您的資料。使用加密 Amazon DocumentDB 叢集時 AWS KMS，Amazon DocumentDB 會 AWS KMS 要求使用您的金鑰產生密文資料KMS金鑰來加密儲存磁碟區。密文資料金鑰會使用您定義的KMS金鑰加密，並與加密的資料和儲存中繼資料一起儲存。當 Amazon DocumentDB 需要存取您的加密資料時，會請求使用金鑰 AWS KMS 解密密文資料金鑰，並在記憶體中快取純文字資料KMS金鑰，以便有效率地加密和解密儲存磁碟區中的資料。

Amazon DocumentDB 中的儲存加密功能適用於所有支援的執行個體大小，以及所有提供 Amazon DocumentDB AWS 區域 的執行個體大小。

為 Amazon 文件資料庫叢集啟用靜態加密

當使用或 AWS Command Line Interface (AWS CLI) 佈建叢集時，您可以在 Amazon DocumentDB 叢集上啟用 AWS Management Console 或停用靜態加密。您使用主控台所建立的叢集，依預設會啟用靜態加密。您使用建立的 AWS CLI 叢集預設會停用靜態加密。因此，您必須使用 --storage-encrypted 參數明確啟用靜態加密。在任何一種情況下，當叢集建立之後，您都無法變更靜態加密選項。

Amazon DocumentDB 用於擷 AWS KMS 取和管理加密金鑰，以及定義控制這些金鑰使用方式的政策。如果您未指定 AWS KMS 金鑰識別碼，Amazon DocumentDB 會使用預設的 AWS 受管服務KMS金鑰。Amazon DocumentDB 為KMS您的 AWS 區域 . AWS 帳戶如需詳細資訊，請參閱 AWS Key Management Service 概念。

若要開始建立自己的KMS金鑰，請參閱開AWS Key Management Service發人員指南中的入門指南。

如果 Amazon DocumentDB 無法再存取叢集的加密金鑰 (例如，當存取金鑰被撤銷時)，則加密的叢集會進入終端機狀態。在此情況下，您只能從備份中還原叢集。對於 Amazon DocumentDB，備份始終啟用 1 天。

此外，如果停用加密 Amazon DocumentDB 叢集的金鑰，您最終將失去該叢集的讀取和寫入存取權。當 Amazon DocumentDB 遇到使用無法存取的金鑰加密的叢集時，會將叢集置於終端機狀態。在此情況下，該叢集再也無法使用，而且無法復原資料庫的目前狀態。若要還原叢集，您必須重新啟用 Amazon DocumentDB 加密金鑰的存取權，然後從備份還原叢集。

Using the AWS Management Console

您可以在建立叢集時指定靜態加密選項。當您使用 AWS Management Console建立叢集時，依預設會啟用靜態加密。叢集建立之後就無法變更此選項。

在建立叢集時指定靜態加密選項

1. 按照入門部分中所述建立 Amazon 文件資料庫叢集。不過，在步驟 6 中，請勿選擇 Create cluster (建立叢集)。

2. 在 Authentication (身分驗證) 區段下，選擇 Show advanced settings (顯示進階設定)。

3. 向下捲動至 E ncryption-at-rest 區段。

4. 選擇您要靜態加密採用的選項。無論選擇哪個選項，叢集建立之後都無法變更。

   • 若要對此叢集中的資料啟用靜態加密，請選擇 Enable encryption (啟用加密)。

   • 如果您不要對此叢集中的資料啟用靜態加密，請選擇 Disable encryption (停用加密)。

5. 選擇您想要的主鍵。Amazon DocumentDB 使用 AWS Key Management Service (AWS KMS) 擷取和管理加密金鑰，以及定義控制這些金鑰使用方式的政策。如果您未指定 AWS KMS 金鑰識別碼，Amazon DocumentDB 會使用預設的 AWS 受管服務KMS金鑰。如需詳細資訊，請參閱 AWS Key Management Service 概念。

   注意

   建立加密叢集之後，您無法變更該叢集的KMS金鑰。務必在加密叢集建立之前決定您的加密金鑰需求。

6. 請視需要完成其他區段，並建立您的叢集。

Using the AWS CLI

若要使用加密 Amazon DocumentDB 叢集 AWS CLI，您必須在建立叢集時指定--storage-encrypted選項。使用建立的 Amazon DocumentDB 叢集預設 AWS CLI 不啟用儲存加密。

下列範例會建立已啟用儲存加密的 Amazon DocumentDB 叢集。

若為 Linux、macOS 或 Unix：

aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted

針對 Windows：

aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted

建立加密的 Amazon DocumentDB 叢集時，您可以指定 AWS KMS 金鑰識別碼，如下列範例所示。

若為 Linux、macOS 或 Unix：

aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted \
      --kms-key-id key-arn-or-alias

針對 Windows：

aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted ^
      --kms-key-id key-arn-or-alias

注意

建立加密叢集之後，您無法變更該叢集的KMS金鑰。務必在加密叢集建立之前決定您的加密金鑰需求。

Amazon DocumentDB 加密叢集的限制

Amazon DocumentDB 加密叢集存在下列限制。