Verschlüsseln von Amazon Aurora-Ressourcen - Amazon Aurora
Überblick über die Verschlüsselung in Amazon Aurora Aurora-RessourcenVerschlüsseln eines Amazon-Aurora-DB-ClustersBestimmen, ob die Verschlüsselung für einen DB-Cluster aktiviert istVerfügbarkeit der Amazon Aurora-VerschlüsselungVerschlüsselung während der ÜbertragungEinschränkungen von Amazon Aurora-verschlüsselten DB-Clustern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Amazon Aurora-Ressourcen

Amazon Aurora schützt Ihre Daten sowohl im Ruhezustand als auch während der Übertragung — unabhängig davon, ob sie zwischen lokalen Clients und Amazon Aurora oder zwischen Amazon Aurora und anderen Ressourcen übertragen werden. AWS Amazon Aurora verschlüsselt alle Benutzerdaten in Ihren Amazon Aurora Aurora-DB-Clustern, einschließlich Protokollen, automatisierten Backups und Snapshots.

Nachdem Ihre Daten verschlüsselt wurden, verarbeitet Amazon Aurora die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden.

Anmerkung

Bei verschlüsselten und unverschlüsselten werden Daten, die zwischen der Quelle und den gelesenen Repliken übertragen werden, verschlüsselt, auch wenn sie regionsübergreifend repliziert werden. AWS

Überblick über die Verschlüsselung in Amazon Aurora Aurora-Ressourcen

Amazon Aurora-verschlüsselte DB-Cluster bieten zusätzlichen Datenschutz, indem Sie Ihre Daten vor unautorisiertem Zugriff auf den zugehörigen Speicherplatz sichern. Alle neuen Datenbank-Cluster, die am oder nach dem 18. Februar 2026, dem in Amazon Aurora erstellt wurden, werden im Ruhezustand mit der branchenüblichen AES-256-Verschlüsselung verschlüsselt. Diese Verschlüsselung erfolgt automatisch im Hintergrund und schützt Ihre Daten, ohne dass Sie etwas unternehmen müssen. Sie trägt auch dazu bei, den betrieblichen Aufwand und die Komplexität beim Schutz sensibler Daten zu reduzieren. Mit Encryption at Rest können Sie Compliance- und sicherheitskritische Anwendungen sowohl vor versehentlichen als auch vor böswilligen Bedrohungen schützen und gleichzeitig die gesetzlichen Anforderungen erfüllen.

Amazon Aurora verwendet einen AWS Key Management Service Schlüssel, um diese Ressourcen zu verschlüsseln. AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Beim Erstellen eines neuen Datenbank-Clusters verwendet Amazon Aurora standardmäßig serverseitige Verschlüsselung (SSE) mit einem AWS eigenen Schlüssel. Sie können jedoch je nach Ihren Sicherheits- und Compliance-Anforderungen aus drei Verschlüsselungstypen wählen:

  • AWS eigener Schlüssel (SSE-RDS) — Ein vollständig AWS kontrollierter Verschlüsselungsschlüssel, den Sie nicht einsehen oder verwalten können und der von Aurora automatisch für die Standardverschlüsselung verwendet wird.

  • AWS verwalteter Schlüssel (AMK) — Dieser Schlüssel wird von Ihrem Konto erstellt und verwaltet AWS und ist dort sichtbar, aber nicht anpassbar. Es gibt keine monatliche Gebühr, aber es fallen AWS KMS API-Gebühren an.

  • Vom Kunden verwalteter Schlüssel (CMK) — Der Schlüssel wird in Ihrem Konto gespeichert und wird von Ihnen erstellt, gehört und verwaltet. Sie haben die volle Kontrolle über den KMS-Schlüssel (es AWS KMS fallen Gebühren an).

AWS Bei verwalteten Schlüsseln handelt es sich um eine ältere Verschlüsselungsoption, die aus Gründen der Abwärtskompatibilität weiterhin verfügbar ist. Amazon Aurora verwendet AWS standardmäßig eigene Schlüssel zur Verschlüsselung Ihrer Daten und bietet so einen starken Sicherheitsschutz ohne zusätzliche Kosten oder Verwaltungsaufwand. Für die meisten Anwendungsfälle empfehlen wir, entweder den standardmäßigen AWS eigenen Schlüssel aus Gründen der Einfachheit und Kosteneffizienz oder einen vom Kunden verwalteten Schlüssel (CMK) zu verwenden, wenn Sie die volle Kontrolle über Ihre Verschlüsselungsschlüssel benötigen. Weitere Informationen zu Schlüsseltypen finden Sie unter Vom Kunden verwaltete Schlüssel und AWS verwaltete Schlüssel.

Anmerkung

Wichtig: Für Quelldatenbank-Instances oder Cluster, die vor dem 18. Februar 2026 — dem 2026 erstellt wurden und bei denen Sie sich nicht für die Verschlüsselung entschieden haben, bleiben Snapshots, Klone und Amazon Aurora Aurora-Replicas (Leseinstanz), die aus diesen Quellen erstellt wurden, unverschlüsselt. Wiederherstellungsvorgänge und logische Replikation außerhalb des Amazon Aurora Aurora-Clusters erzeugen jedoch verschlüsselte Instances.

Bei einem mit Amazon Aurora verschlüsselten DB-Cluster werden alle DB-Instances, Protokolle, Backups und Snapshots verschlüsselt. Weitere Informationen zur Verfügbarkeit und zu den Einschränkungen der Verschlüsselung finden Sie unter Verfügbarkeit der Amazon Aurora-Verschlüsselung und Einschränkungen von Amazon Aurora-verschlüsselten DB-Clustern.

Wenn Sie einen verschlüsselten DB-Cluster erstellen, können Sie einen vom Kunden verwalteten Schlüssel oder den Von AWS verwalteter Schlüssel Schlüssel wählen, mit dem Amazon Aurora Ihren DB-Cluster verschlüsselt. Wenn Sie die Schlüssel-ID für einen vom Kunden verwalteten Schlüssel nicht angeben, verwendet Amazon Aurora den Von AWS verwalteter Schlüssel für Ihren neuen DB-Cluster. Amazon Aurora erstellt eine Von AWS verwalteter Schlüssel für Amazon Aurora für Ihr AWS Konto. Ihr AWS Konto hat Von AWS verwalteter Schlüssel für Amazon Aurora für jede AWS Region ein anderes.

Zur Verwaltung der kundenseitig verwalteten Schlüssel, die zum Ver- und Entschlüsseln Ihrer Amazon-Aurora-Ressourcen dienen, verwenden Sie die AWS Key Management Service (AWS KMS).

Mithilfe von AWS KMS können Sie vom Kunden verwaltete Schlüssel erstellen und die Richtlinien definieren, um die Verwendung dieser vom Kunden verwalteten Schlüssel zu kontrollieren. AWS KMS unterstützt CloudTrail, sodass Sie die Verwendung von KMS-Schlüsseln überprüfen können, um sicherzustellen, dass vom Kunden verwaltete Schlüssel ordnungsgemäß verwendet werden. Sie können Ihre vom Kunden verwalteten Schlüssel mit Amazon Aurora und unterstützten AWS Diensten wie Amazon S3, Amazon EBS und Amazon Redshift verwenden. Eine Liste der Dienste, die integriert sind, finden Sie unter AWS KMSAWS Serviceintegration. Einige Überlegungen zur Verwendung von KMS-Schlüsseln:

  • Sobald Sie eine verschlüsselte DB-Instance erstellt haben, können Sie den von dieser Instance verwendeten KMS-Schlüssel nicht mehr ändern. Stellen Sie sicher, dass Sie Ihre KMS-Schlüsselanforderungen ermitteln, bevor Sie Ihre verschlüsselte DB-Instance erstellen. Gehen Sie folgendermaßen vor, wenn Sie den Verschlüsselungsschlüssel für Ihren DB-Cluster ändern müssen:

    • Erstellen Sie einen manuellen Snapshot Ihres Clusters.

    • Stellen Sie den Snapshot wieder her und aktivieren Sie während des Wiederherstellungsvorgangs die Verschlüsselung mit dem gewünschten KMS-Schlüssel.

  • Wenn Sie einen unverschlüsselten Snapshot wiederherstellen und keine Verschlüsselung wählen, wird der erstellte Datenbankcluster mit der Standardverschlüsselung im Ruhezustand (AWS eigener Schlüssel) verschlüsselt.

  • Sie können keinen Snapshot teilen, der mit dem AWS Konto verschlüsselt wurde, das Von AWS verwalteter Schlüssel den Snapshot geteilt hat.

  • Jede DB-Instance im DB-Cluster nutzt denselben Speicher, der mit demselben KMS-Schlüssel verschlüsselt ist.

Wichtig

Amazon Aurora kann den Zugriff auf den KMS-Schlüssel für einen DB-Cluster verlieren, wenn Sie den KMS-Schlüssel deaktivieren. In diesen Fällen geht der verschlüsselte DB-Cluster in den inaccessible-encryption-credentials-recoverable-Zustand. Der DB-Cluster behält diesen Status sieben Tage lang bei, währenddessen die Instance angehalten wird. API-Aufrufe, die während dieser Zeit an den DB-Cluster getätigt wurden, sind möglicherweise nicht erfolgreich. Um den DB-Cluster wiederherzustellen, aktivieren Sie den KMS-Schlüssel und starten Sie diesen DB-Cluster neu. Sie können den KMS-Schlüssel über die AWS-Managementkonsole AWS CLI, oder RDS-API aktivieren. Starten Sie den DB-Cluster mit dem AWS CLI Befehl start-db-clusteroder neu AWS-Managementkonsole.

Der Status inaccessible-encryption-credentials-recoverable gilt nur für DB-Cluster, die angehalten werden können. Dieser wiederherstellbare Status gilt nicht für Instances, die nicht angehalten werden können, wie Cluster mit regionsübergreifenden Lesereplikaten. Weitere Informationen finden Sie unter Einschränkungen für das Stoppen und Starten eines Aurora-DB-Clusters.

Wenn der DB-Cluster nicht innerhalb von sieben Tagen wiederhergestellt wird, wechselt er in den Terminalstatus inaccessible-encryption-credentials. In diesem Status ist der DB-Cluster nicht mehr nutzbar und kann nur über eine Sicherung wiederhergestellt werden. Wir empfehlen dringend, dass Sie immer Backups aktivieren, um den Verlust von Daten in Ihren Datenbanken zu verhindern.

Bei der Erstellung eines DB-Clusters überprüft Aurora, ob der aufrufende Prinzipal Zugriff auf den KMS-Schlüssel hat, und generiert aus dem KMS-Schlüssel eine Berechtigung, die für die gesamte Lebensdauer des DB-Clusters verwendet wird. Das Widerrufen des Zugriffs des aufrufenden Prinzipals auf den KMS-Schlüssel hat keine Auswirkungen auf eine laufende Datenbank. Wenn KMS-Schlüssel in kontoübergreifenden Szenarien verwendet werden, z. B. beim Kopieren eines Snapshots in ein anderes Konto, muss der KMS-Schlüssel für das andere Konto freigegeben werden. Wenn Sie aus dem Snapshot einen DB-Cluster erstellen, ohne einen anderen KMS-Schlüssel anzugeben, verwendet der neue Cluster den KMS-Schlüssel aus dem Quellkonto. Das Widerrufen des Zugriffs auf den Schlüssel nach dem Erstellen des DB-Clusters hat keine Auswirkungen auf den Cluster. Die Deaktivierung des Schlüssels wirkt sich jedoch auf alle DB-Cluster aus, die mit diesem Schlüssel verschlüsselt wurden. Um dies zu verhindern, geben Sie während des Snapshot-Kopiervorgangs einen anderen Schlüssel an.

Weitere Informationen über KMS-Schlüssel finden Sie unter AWS KMS keys im Entwicklerhandbuch zu AWS Key Management Service und in AWS KMS key Verwaltung.

Verschlüsseln eines Amazon-Aurora-DB-Clusters

Alle neuen DB-Cluster, die am oder nach dem 18. Februar 2026 erstellt wurden, werden standardmäßig mit einem AWS eigenen Schlüssel verschlüsselt.

Um einen neuen DB-Cluster mithilfe Von AWS verwalteter Schlüssel eines vom Kunden verwalteten Schlüssels zu verschlüsseln, wählen Sie die Option auf der Konsole aus. Weitere Informationen zum Erstellen eines DB-Clusters finden Sie unter Erstellen eines Amazon Aurora-DB Clusters.

Wenn Sie den create-db-cluster AWS CLI Befehl verwenden, um einen verschlüsselten DB-Cluster zu erstellen, legen Sie den --storage-encrypted Parameter fest. Wenn Sie den Vorgang Create DBCluster API verwenden, setzen Sie den StorageEncrypted Parameter auf true.

Sobald Sie einen verschlüsselten DB-Cluster erstellt haben, können Sie den von diesem DB-Cluster verwendeten KMS-Schlüssel nicht mehr ändern. Stellen Sie daher sicher, dass Sie Ihre KMS-Schlüsselanforderungen bestimmen, bevor Sie Ihren verschlüsselten DB-Cluster erstellen.

Wenn Sie den AWS CLI create-db-cluster Befehl verwenden, um einen verschlüsselten DB-Cluster mit einem vom Kunden verwalteten Schlüssel zu erstellen, legen Sie den --kms-key-id Parameter auf eine beliebige Schlüssel-ID für den KMS-Schlüssel fest. Wenn Sie den Vorgang Amazon RDS API CreateDBInstance verwenden, setzen Sie den Parameter KmsKeyId auf einen beliebigen Schlüsselbezeichner für den KMS-Schlüssel. Um einen vom Kunden verwalteten Schlüssel in einem anderen AWS Konto zu verwenden, geben Sie den Schlüssel-ARN oder den Alias-ARN an.

Bestimmen, ob die Verschlüsselung für einen DB-Cluster aktiviert ist

Sie können die AWS-Managementkonsole, oder RDS-API verwenden AWS CLI, um festzustellen, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist.

So ermitteln Sie, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Datenbanken aus.

  3. Wählen Sie den Namen des DB-Clusters aus, den Sie überprüfen möchten, um dessen Details anzuzeigen.

  4. Wählen Sie die Registerkarte Konfiguration aus und überprüfen Sie den Wert für die Verschlüsselung.

    Überprüfen der ruhenden Verschlüsselung für einen DB-Cluster

Rufen Sie den describe-db-clustersBefehl mit der folgenden Option auf, um zu ermitteln AWS CLI, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist:

  • --db-cluster-identifier – der Name des DB-Clusters.

Im folgenden Beispiel wird eine Abfrage verwendet, um entweder TRUE oder FALSE bezüglich der Verschlüsselung im Ruhezustand für den mydb DB-Cluster zurückzugeben.

Beispiel
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Um mithilfe der Amazon RDS-API zu ermitteln, ob die Verschlüsselung im Ruhezustand für einen DB-Cluster aktiviert ist, rufen Sie den DBClusters Vorgang Describe mit dem folgenden Parameter auf:

  • DBClusterIdentifier – der Name des DB-Clusters.

Verfügbarkeit der Amazon Aurora-Verschlüsselung

Die Amazon Aurora-Verschlüsselung ist aktuell für alle Datenbank-Engines und Speichertypen verfügbar.

Anmerkung

Die Amazon Aurora-Verschlüsselung ist für die DB-Instance-Klasse db.t2.micro nicht verfügbar.

Verschlüsselung während der Übertragung

Verschlüsselung auf der physischen Ebene

Alle Daten, die AWS-Regionen über das AWS globale Netzwerk übertragen werden, werden auf der physischen Ebene automatisch verschlüsselt, bevor sie AWS gesicherte Einrichtungen verlassen. Der gesamte Datenverkehr zwischen beiden AZs ist verschlüsselt. Zusätzliche Verschlüsselungsebenen, einschließlich der in diesem Abschnitt aufgeführten, bieten möglicherweise zusätzlichen Schutz.

Verschlüsselung durch Amazon VPC-Peering und regionsübergreifendes Transit Gateway Gateway-Peering

Der gesamte regionsübergreifende Datenverkehr, der Amazon-VPC- und Transit-Gateway-Peering verwendet, wird automatisch massenverschlüsselt, wenn er eine Region verlässt. Auf der physischen Ebene wird automatisch eine zusätzliche Verschlüsselungsebene für den gesamten Datenverkehr bereitgestellt, bevor er gesicherte Einrichtungen verlässt. AWS

Verschlüsselung zwischen Instanzen

AWS bietet sichere und private Konnektivität zwischen DB-Instances aller Typen. Darüber hinaus verwenden einige Instance-Typen die Offload-Funktionen der zugrunde liegenden Nitro-System-Hardware, um den Datenverkehr während der Übertragung zwischen Instances automatisch zu verschlüsseln. Diese Verschlüsselung verwendet AEAD-Algorithmen (Authenticated Encryption with Associated Data) mit 256-Bit-Verschlüsselung. Es gibt keine Auswirkungen auf die Netzwerkleistung. Um diese zusätzliche Verschlüsselung des Datenverkehrs während der Übertragung zwischen Instances zu unterstützen, müssen die folgenden Anforderungen erfüllt sein:

  • Die Instances verwenden die folgenden Instance-Typen:

    • Allgemeiner Zweck: M6i, M6id, M6in, M6idn, M7g

    • Speicheroptimiert: R6i, R6id, R6in, R6idn, R7g, X2idn, X2iedn, X2iezn

  • Die Instances befinden sich in derselben AWS-Region.

  • Die Instances befinden sich in derselben VPC oder per Peering VPCs, und der Datenverkehr wird nicht über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst wie einen Load Balancer oder ein Transit-Gateway geleitet.

Einschränkungen von Amazon Aurora-verschlüsselten DB-Clustern

Folgende Einschränkungen bestehen für Amazon Aurora-verschlüsselte DB-Cluster:

  • Sie können die Verschlüsselung für einen verschlüsselten DB-Cluster nicht deaktivieren.

  • Wenn Sie bereits über einen unverschlüsselten Cluster verfügen, werden alle von diesem Cluster erstellten Snapshots ebenfalls unverschlüsselt. Um einen verschlüsselten Snapshot aus einem unverschlüsselten Cluster zu erstellen, müssen Sie den Snapshot kopieren und während des Kopiervorgangs einen vom Kunden verwalteten Schlüssel angeben. Sie können keinen verschlüsselten Snapshot aus einem unverschlüsselten Snapshot erstellen, ohne einen vom Kunden verwalteten Schlüssel anzugeben.

  • Ein Snapshot eines verschlüsselten DB-clusters muss mit demselben KMS-Schlüssel verschlüsselt werden wie der DB-cluster.

  • Unverschlüsselte DB-Cluster können nicht in verschlüsselte umgewandelt werden. Sie können jedoch einen unverschlüsselten Snapshot in einen verschlüsselten Aurora-DB-Cluster wiederherstellen. Geben Sie dazu bei der Wiederherstellung aus dem unverschlüsselten Snapshot einen KMS-Schlüssel an.

  • Wenn Sie bereits über einen unverschlüsselten Cluster verfügen, wird jedes Amazon Aurora Aurora-Replikat (Leseinstanz), das aus diesem Cluster erstellt wurde, ebenfalls unverschlüsselt. Um einen verschlüsselten Cluster aus einem unverschlüsselten Cluster zu erstellen, müssen Sie den Datenbank-Cluster wiederherstellen. Der wiederhergestellte Cluster wird nach dem Wiederherstellungsvorgang standardmäßig verschlüsselt.

  • Um einen verschlüsselten Snapshot von einer AWS Region in eine andere zu kopieren, müssen Sie den KMS-Schlüssel in der AWS Zielregion angeben. Dies liegt daran, dass KMS-Schlüssel für die AWS Region spezifisch sind, in der sie erstellt wurden.

    Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Amazon Aurora verwendet Envelope-Verschlüsselung, um Daten während des Kopiervorgangs zu schützen. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service -Entwicklerhandbuch.

  • Sie können eine(n) verschlüsselte(n) DB-Cluster nicht entschlüsseln. Sie können jedoch Daten aus einer/einem verschlüsselten DB-Cluster exportieren und die Daten in eine(n) unverschlüsselte(n) DB-Cluster importieren.