AWS KMS key Verwaltung - Amazon Relational Database Service
Autorisieren der Verwendung eines kundenverwalteten SchlüsselsAmazon-RDS-Verschlüsselungskontext

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS key Verwaltung

Amazon RDS wird automatisch zur Schlüsselverwaltung in AWS Key Management Service (AWS KMS) integriert. Amazon RDS verwendet eine Envelope-Verschlüsselung. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service -Entwicklerhandbuch.

Sie können zwei Arten von AWS KMS Schlüsseln verwenden, um Ihre zu verschlüsseln.

  • Wenn Sie die volle Kontrolle über einen KMS-Schlüssel haben möchten, müssen Sie einen vom Kunden verwalteten Schlüssel erstellen. Weitere Informationen über kundenverwaltete Schlüssel finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Developer Guide.

  • Von AWS verwaltete Schlüsselsind KMS-Schlüssel in Ihrem Konto, die in Ihrem Namen von einem integrierten AWS Dienst erstellt, verwaltet und verwendet werden. AWS KMS Standardmäßig wird der RDS- Von AWS verwalteter Schlüssel (aws/rds) für die Verschlüsselung verwendet. Sie können den RDS nicht verwalten, rotieren oder löschen Von AWS verwalteter Schlüssel. Weitere Informationen zu Von AWS verwaltete Schlüssel finden Sie Von AWS verwaltete Schlüsselim AWS Key Management Service Entwicklerhandbuch.

Um KMS-Schlüssel zu verwalten, die für Amazon RDS verwendet werden, verwenden Sie AWS Key Management Service (AWS KMS) in der AWS KMS Konsole AWS CLI, die oder die AWS KMS API. Verwenden Sie zur Anzeige von Audit-Protokollen für jede Aktion, die mit einem AWS -verwalteten oder kundenverwalteten Schlüssel durchgeführt wurde AWS CloudTrail. Weitere Informationen zum Rotieren der Schlüssel finden Sie unter Rotieren von  AWS KMS -Schlüsseln.

Autorisieren der Verwendung eines kundenverwalteten Schlüssels

Wenn RDS einen vom Kunden verwalteten Schlüssel für kryptografische Operationen verwendet, handelt es im Namen des Benutzers, der die RDS-Ressource erstellt oder ändert.

Wenn Sie eine RDS-Ressource mit einem vom Kunden verwalteten Schlüssel erstellen möchten, müssen Sie die Berechtigung haben, die folgenden Operationen für den vom Kunden verwalteten Schlüssel aufzurufen:

  • kms:CreateGrant

  • kms:DescribeKey

Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt.

Tipp

Um den Grundsatz der Erteilung der geringsten erforderlichen Berechtigungen zu befolgen, lassen Sie den vollständigen Zugriff auf kms:CreateGrant nicht zu. Verwenden Sie stattdessen den ViaService Bedingungsschlüssel kms:, damit der Benutzer nur dann Zuschüsse für den KMS-Schlüssel erstellen kann, wenn der Zuschuss im Namen des Benutzers von einem AWS Service erstellt wird.

Sie können die IAM-Richtlinie auf verschiedene Weise strikter gestalten. Wenn Sie beispielsweise zulassen möchten, dass der vom Kunden verwaltete Schlüssel nur für Anfragen verwendet wird, die ihren Ursprung in RDS haben, verwenden Sie den kms:ViaService Bedingungsschlüssel mit dem rds.<region>.amazonaws.com Wert. Sie können auch die Schlüssel oder Werte im Amazon-RDS-Verschlüsselungskontext als Bedingung für die Verwendung des vom Kunden verwalteten Schlüssels für die Verschlüsselung verwenden.

Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service -Entwicklerhandbuch und unter Schlüsselrichtlinien in AWS KMS.

Amazon-RDS-Verschlüsselungskontext

Wenn RDS Ihren KMS-Schlüssel verwendet oder Amazon EBS den KMS-Schlüssel im Auftrag von RDS verwendet, gibt der Service einen Verschlüsselungskontext an. Der Verschlüsselungskontext besteht aus zusätzlichen authentifizierten Daten (AAD), die zur Sicherstellung der AWS KMS Datenintegrität verwendet werden. Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, muss der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation angeben. Andernfalls schlägt die Entschlüsselung fehl. Der Verschlüsselungskontext wird zudem in Ihre AWS CloudTrail-Protokolle geschrieben, sodass Sie jederzeit nachvollziehen können, warum ein bestimmter KMS-Schlüssel verwendet wurde. Ihre CloudTrail Protokolle können viele Einträge enthalten, die die Verwendung eines KMS-Schlüssels beschreiben, aber der Verschlüsselungskontext in jedem Protokolleintrag kann Ihnen helfen, den Grund für diese bestimmte Verwendung zu ermitteln.

Amazon RDS verwendet mindestens immer die der DB-Instance für den Verschlüsselungskontext, wie im folgenden Beispiel im JSON-Format:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Dieser Verschlüsselungskontext kann Ihnen helfen, den zu identifizieren, für den Ihr KMS-Schlüssel verwendet wurde.

Wenn Ihr KMS-Schlüssel für einen bestimmten und ein bestimmtes Amazon EBS-Volume verwendet wird, werden sowohl die als auch die Amazon EBS-Volume-ID für den Verschlüsselungskontext verwendet, wie im folgenden Beispiel im JSON-Format:

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}