MemoryDB 中的靜態加密 - Amazon MemoryDB

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

MemoryDB 中的靜態加密

為了協助保護資料安全,MemoryDB 和 Amazon S3 提供不同的方法,以限制對叢集中資料的存取。如需詳細資訊,請參閱 MemoryDB 和 Amazon VPCMemoryDB 中的身分和存取管理

MemoryDB 靜態加密一律會啟用,透過加密持久性資料來提高資料安全性。它會加密下列層面:

  • 交易日誌中的資料

  • 同步、快照和交換操作期間的磁碟

  • 存放在 Amazon S3 中的快照

MemoryDB 提供靜態的預設 (服務受管) 加密,以及能夠在 AWS Key Management Service (KMS) 中使用您自己的對稱客戶受管客戶根金鑰。

儲存在啟用資料分層叢集中的 SSDs(固態磁碟機) 上的資料一律會依預設加密。

如需傳輸中加密的詳細資訊,請參閱MemoryDB 中的傳輸中加密 (TLS)

從 使用客戶受管金鑰 AWS KMS

MemoryDB 支援用於靜態加密的對稱客戶受管根金鑰 (KMS 金鑰)。客戶受管KMS金鑰是您在 AWS 帳戶中建立、擁有和管理的加密金鑰。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的客戶根金鑰。金鑰必須先在 中 AWS KMS建立,才能與 MemoryDB 搭配使用。

若要了解如何建立 AWS KMS根金鑰,請參閱AWS 金鑰管理服務開發人員指南中的建立金鑰

MemoryDB 可讓您與 整合 AWS KMS。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的使用授權。啟用 MemoryDB 與 整合不需要客戶動作 AWS KMS。

kms:ViaService 條件金鑰會將 AWS KMS金鑰的使用限制為來自指定 AWS 服務的請求。若要kms:ViaService搭配 MemoryDB 使用,請在條件索引鍵值中包含兩個 ViaService 名稱:memorydb.amazon_region.amazonaws.com。如需詳細資訊,請參閱 kms:ViaService

您可以使用 AWS CloudTrail 來追蹤 MemoryDB 代表您傳送至 AWS Key Management Service 的請求。所有與客戶受管金鑰 AWS Key Management Service 相關的 API呼叫都有對應的 CloudTrail 日誌。您也可以透過呼叫來查看 MemoryDB 建立的授予ListGrantsKMSAPI。

使用客戶受管金鑰加密叢集後,叢集的所有快照都會加密,如下所示:

  • 自動每日快照會使用與叢集相關聯的客戶受管金鑰進行加密。

  • 刪除叢集時建立的最終快照,也會使用與叢集相關聯的客戶受管金鑰加密。

  • 根據預設,手動建立的快照會加密,以使用與叢集相關聯的KMS金鑰。您可以透過選擇其他客戶受管金鑰來覆寫此選項。

  • 使用與來源快照相關聯的客戶受管金鑰,將快照預設值複製到 。您可以透過選擇其他客戶受管金鑰來覆寫此選項。

注意
  • 將快照匯出至您選取的 Amazon S3 儲存貯體時,無法使用客戶受管金鑰。不過,匯出至 Amazon S3 的所有快照都會使用伺服器端加密。您可以選擇將快照檔案複製到新的 S3 物件並使用客戶受管KMS金鑰加密、將檔案複製到使用KMS金鑰設定預設加密的另一個 S3 儲存貯體,或變更檔案本身中的加密選項。

  • 您也可以使用客戶受管金鑰來加密手動建立的快照,這些快照不使用客戶受管金鑰進行加密。使用此選項,即使原始叢集上的資料未加密,儲存在 Amazon S3 中的快照檔案仍會使用KMS金鑰加密。

從快照還原可讓您從可用的加密選項中進行選擇,類似於建立新叢集時可用的加密選項。

  • 如果您刪除金鑰或停用金鑰,並撤銷用於加密叢集的金鑰授予,則叢集將無法復原。換句話說,它無法在硬體故障後修改或復原。 AWS KMS 只會在至少七天的等待期間之後刪除根金鑰。刪除金鑰後,您可以使用不同的客戶受管金鑰來建立快照以供封存。

  • 自動金鑰輪換會保留根金鑰的 AWS KMS屬性,因此輪換不會影響您存取 MemoryDB 資料的能力。加密的 MemoryDB 叢集不支援手動金鑰輪換,這涉及建立新的根金鑰,以及更新對舊金鑰的任何參考。若要進一步了解,請參閱AWS 金鑰管理服務開發人員指南中的輪換客戶根金鑰

  • 使用KMS金鑰加密 MemoryDB 叢集需要每個叢集授予一次。此授予會在叢集的整個生命週期內使用。此外,在快照建立期間,每個快照會使用一個授予。建立快照後,此授予即會淘汰。

  • 如需授予和限制的詳細資訊 AWS KMS,請參閱 AWS Key Management Service 開發人員指南中的配額

另請參閱