AWS KMS key Verwaltung - Amazon Relational Database Service
Autorisieren der Verwendung eines kundenverwalteten SchlüsselsAmazon-RDS-Verschlüsselungskontext

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS key Verwaltung

Amazon RDS wird automatisch zur Schlüsselverwaltung in AWS Key Management Service (AWS KMS) integriert. Amazon RDS verwendet eine Umschlagverschlüsselung. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service -Entwicklerhandbuch.

Sie können zwei Arten von AWS KMS Schlüsseln verwenden, um Ihre zu verschlüsseln.

  • Wenn Sie die volle Kontrolle über einen KMS-Schlüssel haben möchten, müssen Sie einen kundenseitig verwalteten Schlüssel erstellen. Weitere Informationen über kundenverwaltete Schlüssel finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Developer Guide.

  • Von AWS verwaltete Schlüsselsind KMS-Schlüssel in Ihrem Konto, die in Ihrem Namen von einem integrierten AWS Dienst erstellt, verwaltet und verwendet werden. AWS KMS Standardmäßig wird der RDS- Von AWS verwalteter Schlüssel (aws/rds) für die Verschlüsselung verwendet. Sie können den RDS nicht verwalten, rotieren oder löschen Von AWS verwalteter Schlüssel. Weitere Informationen zu Von AWS verwaltete Schlüssel finden Sie Von AWS verwaltete Schlüsselim AWS Key Management Service Entwicklerhandbuch.

Um KMS-Schlüssel zu verwalten, die für Amazon RDS verwendet werden, verwenden Sie AWS Key Management Service (AWS KMS) in der AWS KMS Konsole AWS CLI, die oder die AWS KMS API. Verwenden Sie zur Anzeige von Audit-Protokollen für jede Aktion, die mit einem AWS -verwalteten oder kundenverwalteten Schlüssel durchgeführt wurde AWS CloudTrail. Weitere Informationen zum Rotieren der Schlüssel finden Sie unter Rotieren von  AWS KMS -Schlüsseln.

Autorisieren der Verwendung eines kundenverwalteten Schlüssels

Wenn RDS einen kundenseitig verwalteten Schlüssel für kryptografische Vorgänge verwendet, handelt es im Namen des Benutzers, der die RDS-Ressource erstellt oder ändert.

Wenn Sie eine RDS-Ressource mit einem kundenseitig verwalteten Schlüssel erstellen möchten, müssen Sie über die Berechtigung verfügen, die folgenden Vorgänge für den kundenseitig verwalteten Schlüssel aufzurufen:

  • kms:CreateGrant

  • kms:DescribeKey

Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt.

Wichtig

Wenn Sie explizite Deny-Statements für alle Ressourcen (*) in AWS KMS wichtigen Richtlinien mit verwalteten Services wie Amazon RDS verwenden, müssen Sie eine Bedingung angeben, um das Konto, das die Ressource besitzt, zuzulassen. Ohne diese Bedingung können Vorgänge fehlschlagen, auch wenn die Zugriffsverweigerungsregel Ausnahmen für Ihren IAM-Benutzer enthält.

Tipp

Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den ViaService Bedingungsschlüssel kms:, damit der Benutzer nur dann Zuschüsse für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Dienst erstellt wird.

Sie können die IAM-Richtlinie auf verschiedene Weise strikter gestalten. Wenn Sie beispielsweise zulassen möchten, dass der vom Kunden verwaltete Schlüssel nur für Anfragen verwendet wird, die ihren Ursprung in RDS haben, verwenden Sie den kms:ViaService Bedingungsschlüssel mit dem rds.<region>.amazonaws.com Wert. Sie können auch die Schlüssel oder Werte im Amazon-RDS-Verschlüsselungskontext als Bedingung für die Verwendung des vom Kunden verwalteten Schlüssels für die Verschlüsselung verwenden.

Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service -Entwicklerhandbuch und unter Schlüsselrichtlinien in AWS KMS.

Amazon-RDS-Verschlüsselungskontext

Wenn RDS Ihren KMS-Schlüssel verwendet oder Amazon EBS den KMS-Schlüssel im Namen von RDS verwendet, gibt der Service einen Verschlüsselungskontext an. Der Verschlüsselungskontext besteht aus zusätzlichen authentifizierten Daten (AAD), die zur Sicherstellung der AWS KMS Datenintegrität verwendet werden. Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, muss der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation angeben. Andernfalls schlägt die Entschlüsselung fehl. Der Verschlüsselungskontext wird zudem in Ihre AWS CloudTrail-Protokolle geschrieben, sodass Sie jederzeit nachvollziehen können, warum ein bestimmter KMS-Schlüssel verwendet wurde. Ihre CloudTrail Protokolle können viele Einträge enthalten, die die Verwendung eines KMS-Schlüssels beschreiben, aber der Verschlüsselungskontext in jedem Protokolleintrag kann Ihnen helfen, den Grund für diese bestimmte Verwendung zu ermitteln.

Amazon RDS gibt als Verschlüsselungskontext immer mindestens die ID der DB-Instance an, wie im folgenden Beispiel im JSON-Format gezeigt:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Anhand dieses Verschlüsselungskontexts können Sie herausfinden, für welche DB-Instance der KMS-Schlüssel verwendet wurde.

Wird Ihr KMS-Schlüssel für eine bestimmte DB-Instance und ein bestimmtes Amazon-EBS-Volume verwendet, werden die ID der DB-Instance und die ID des EBS-Volumes als Verschlüsselungskontext angegeben, wie im folgenden Beispiel im JSON-Format gezeigt:

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}