選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

MemoryDB 中的靜態加密

PDF
RSS
焦點模式
MemoryDB 中的靜態加密 - Amazon MemoryDB
從 AWS KMS 使用客戶受管金鑰另請參閱

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為了協助保護資料安全,MemoryDB 和 Amazon S3 提供不同的方法來限制對叢集中資料的存取。如需詳細資訊,請參閱 MemoryDB 和 Amazon VPCMemoryDB 中的身分和存取管理

MemoryDB 靜態加密一律會啟用,透過加密持久性資料來提高資料安全性。它會加密下列層面:

  • 交易日誌中的資料

  • 同步、快照和交換操作期間的磁碟

  • 存放在 Amazon S3 中的快照

MemoryDB 提供靜態預設 (服務受管) 加密,以及能夠在 AWS Key Management Service (KMS) 中使用您自己的對稱客戶受管客戶根金鑰。

儲存在啟用資料分層叢集中的 SSDs (固態硬碟) 上的資料,一律會依預設加密。

如需傳輸中加密的詳細資訊,請參閱MemoryDB 中的傳輸中加密 (TLS)

從 AWS KMS 使用客戶受管金鑰

MemoryDB 支援對稱客戶受管根金鑰 (KMS 金鑰) 進行靜態加密。客戶受管 KMS 金鑰是您在 AWS 帳戶中建立、擁有和管理的加密金鑰。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的客戶根金鑰。金鑰必須先在 AWS KMS 中建立,才能與 MemoryDB 搭配使用。

若要了解如何建立 AWS KMS 根金鑰,請參閱 金鑰管理服務開發人員指南中的建立AWS 金鑰

MemoryDB 可讓您與 AWS KMS 整合。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的使用授權。不需要客戶動作即可啟用 MemoryDB 與 AWS KMS 整合。

kms:ViaService 條件金鑰會將 AWS KMS 金鑰的使用限制為來自指定 AWS 服務的請求。若要kms:ViaService搭配 MemoryDB 使用 ,請在條件索引鍵值中包含兩個 ViaService 名稱:memorydb.amazon_region.amazonaws.com。如需詳細資訊,請參閱 kms:ViaService

您可以使用 AWS CloudTrail 來追蹤 MemoryDB 代表您傳送到 AWS Key Management Service 的請求。所有與客戶受管金鑰 AWS Key Management Service 相關的 API 呼叫都有對應的 CloudTrail 日誌。您也可以透過呼叫 ListGrants KMS API 呼叫來查看 MemoryDB 建立的授予。

使用客戶受管金鑰加密叢集後,叢集的所有快照都會加密,如下所示:

  • 自動每日快照會使用與叢集相關聯的客戶受管金鑰進行加密。

  • 刪除叢集時建立的最終快照,也會使用與叢集相關聯的客戶受管金鑰加密。

  • 根據預設,手動建立的快照會加密,以使用與叢集相關聯的 KMS 金鑰。您可以透過選擇其他客戶受管金鑰來覆寫此選項。

  • 使用與來源快照相關聯的客戶受管金鑰,將快照預設值複製到 。您可以透過選擇其他客戶受管金鑰來覆寫此選項。

注意

  • 匯出快照至您選取的 Amazon S3 儲存貯體時,無法使用客戶受管金鑰。不過,匯出至 Amazon S3 的所有快照都會使用伺服器端加密進行加密。您可以選擇將快照檔案複製到新的 S3 物件,並使用客戶受管的 KMS 金鑰加密、將檔案複製到使用 KMS 金鑰設定預設加密的另一個 S3 儲存貯體,或變更檔案本身的加密選項。

  • 您也可以使用客戶受管金鑰來加密手動建立的快照,這些快照不使用客戶受管金鑰進行加密。使用此選項,即使原始叢集上的資料未加密,存放在 Amazon S3 中的快照檔案仍會使用 KMS 金鑰加密。

從快照還原可讓您從可用的加密選項中進行選擇,類似於建立新叢集時可用的加密選項。

  • 如果您刪除金鑰或停用金鑰,並撤銷您用來加密叢集的金鑰授予,則叢集將無法復原。換句話說,它無法在硬體故障後修改或復原。 AWS KMS 只會在等待至少七天後刪除根金鑰。刪除金鑰後,您可以使用不同的客戶受管金鑰來建立快照以供封存之用。

  • 自動金鑰輪換會保留 AWS KMS 根金鑰的屬性,因此輪換不會影響您存取 MemoryDB 資料的能力。加密的 MemoryDB 叢集不支援手動金鑰輪換,包括建立新的根金鑰,以及更新舊金鑰的任何參考。若要進一步了解,請參閱 AWS Key Management Service 開發人員指南中的輪換客戶根金鑰

  • 使用 KMS 金鑰加密 MemoryDB 叢集需要每個叢集授予一次。此授與會在叢集的整個生命週期內使用。此外,在建立快照期間,每個快照會使用一個授予。建立快照後,此授與會遭到淘汰。

  • 如需 AWS KMS 授與和限制的詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的配額

另請參閱

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。