本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
記憶體中的靜態加密
為了協助保護您的資料安全,MemoryDB 和 Amazon S3 提供了不同的方法來限制對叢集中資料的存取。如需詳細資訊,請參閱 記憶數據庫和 Amazon VPC 及 內存數據庫中的身份和訪問管理。
永遠啟用 MemoryDB 靜態加密,藉由加密持續性資料來提高資料安全性。它加密了以下幾個方面:
-
交易記錄檔中的資料
-
同步、快照和交換作業期間的磁碟
-
存放在 Amazon S3 中的快照
MemoryDB 提供默認(服務託管)靜態加密,以及在AWS 密鑰管理服務(KMS)中使用自己的對稱客戶託管客戶根密鑰的能力。
在啟用資料分層的叢集中,儲存在 SSD (固態硬碟) 上的資料預設一律會加密。
如需傳輸中加密的詳細資訊,請參閱記憶體中的傳輸中加密 (TLS)
使用來自 AWS KMS 的客戶受管金鑰
MemoryDB 支援對稱式客戶管理的根金鑰 (KMS 金鑰) 來進行靜態加密。客戶管理的 KMS 金鑰是您在 AWS 帳戶中建立、擁有和管理的加密金鑰。如需詳細資訊,請參閱金鑰管理服務開發人員指南中的客戶根金鑰。AWS 金鑰必須先在 AWS KMS 中建立,才能與 MemoryDB 搭配使用。
若要瞭解如何建立 AWS KMS 根金鑰,請參閱金AWS 鑰管理服務開發人員指南中的建立金鑰。
內存數據庫允許您與 KMS 集成 AWS 。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的使用授權。無需採取任何客戶動作即可啟用與 KMS 的記憶體資料庫整合 AWS 。
kms:ViaService條件金鑰會限制使用 AWS KMS 金鑰來自指定 AWS 服務的要求。要kms:ViaService與 MemoryDB 一起使用,請在條件鍵值中包含兩個 ViaService 名稱:。memorydb.amazon_region.amazonaws.com如需詳細資訊,請參閱 kms:ViaService。
您可以使用AWS CloudTrail來跟踪 MemoryDB 代表您發送到 AWS Key Management Service 的請求。與客戶管理金鑰 AWS Key Management Service 相關的所有 API 呼叫都有對應的 CloudTrail 記錄。您也可以透過呼叫 ListGrantsKMS API 呼叫來查看記憶體資料庫所建立的授權。
使用客戶管理的金鑰加密叢集後,叢集的所有快照都會加密如下:
自動每日快照會使用與叢集關聯的客戶管理金鑰加密。
刪除叢集時建立的最終快照也會使用與叢集關聯的客戶管理金鑰加密。
依預設,手動建立的快照會加密,以使用與叢集關聯的 KMS 金鑰。您可以透過選擇其他客戶受管金鑰來覆寫此選項。
複製快照預設為使用與來源快照相關聯的客戶管理金鑰。您可以透過選擇其他客戶受管金鑰來覆寫此選項。
注意
-
將快照匯出到選取的 Amazon S3 儲存貯體時,無法使用客戶受管金鑰。不過,匯出至 Amazon S3 的所有快照都會使用伺服器端加密進行加密。您可以選擇將快照檔案複製到新的 S3 物件,並使用客戶受管 KMS 金鑰加密、將檔案複製到另一個使用 KMS 金鑰以預設加密設定的 S3 儲存貯體,或變更檔案本身的加密選項。
-
您也可以使用客戶受管金鑰來加密手動建立的快照,這些快照不會使用客戶受管金鑰進行加密。使用此選項,存放在 Amazon S3 中的快照檔案會使用 KMS 金鑰加密,即使原始叢集上的資料未加密也是如此。
從快照還原可讓您從可用的加密選項中進行選擇,類似於建立新叢集時可用的加密選項。
如果您刪除金鑰或停用金鑰,並撤銷用來加密叢集之金鑰的授權,叢集就會變成無法復原。換句話說,在硬件故障後無法對其進行修改或恢復。 AWS KMS 只會在至少七天的等待期間後刪除根金鑰。刪除金鑰之後,您可以使用不同的客戶管理金鑰來建立快照以進行封存。
自動金鑰輪換會保留 AWS KMS 根金鑰的屬性,因此輪換不會影響您存取 MemoryDB 資料的能力。加密的 MemoryDB 叢集不支援手動金鑰輪換,其中包括建立新的根金鑰和更新舊金鑰的任何參考。若要深入了解,請參閱金鑰管理服務開發人員指南中的輪換客戶根金鑰。AWS
使用 KMS 金鑰加密 MemoryDB 叢集需要每個叢集一次授權。此授權會在叢集的整個生命週期內使用。此外,在建立快照期間,每個快照會使用一個授權。建立快照後,此授權就會被淘汰。
如需 AWS KMS 授與和限制的詳細資訊,請參閱金AWS 鑰管理服務開發人員指南中的配額。
另請參閱
