Menü
Amazon Relational Database Service
Benutzerhandbuch (API-Version 2014-10-31)

Verschlüsseln von Amazon RDS-Ressourcen

Sie können Ihre Amazon RDS-Instances und Snapshots im Ruhezustand verschlüsseln, wenn Sie die Verschlüsselungsoption für Ihre Amazon RDS-DB-Instance aktivieren. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz einer DB-Instance, deren automatisierte Backups, Read Replicas und Snapshots.

Amazon RDS-verschlüsselte Instances verwenden den Industriestandard AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre Amazon RDS-Instance hostet. Sobald Sie die Daten verschlüsselt haben, übernimmt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten auf transparente Art und Weise und mit minimaler Auswirkung auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden.

Amazon RDS-verschlüsselte Instances bieten eine zusätzliche Sicherheitsebene für Datenschutz, indem Sie Ihre Daten vor unautorisiertem Zugriff auf den zugehörigen Speicherplatz sichern. Sie können die Amazon RDS-Verschlüsselung verwenden, um den Datenschutz in Ihren Cloud-Anwendungen zu erhöhen und die Compliance-Anforderungen bei der Verschlüsselung von Daten im Ruhezustand zu erfüllen.

Amazon RDS unterstützt auch die Verschlüsselung einer Oracle- oder SQL Server-DB-Instance mit Transparent Data Encryption (TDE). TDE kann mit Verschlüsselung im Ruhezustande verwendet werden, jedoch kann sich die gleichzeitige Verwendung von TDE mit Verschlüsselung im Ruhezustand geringfügig auf die Leistung Ihrer Datenbank auswirken. Sie müssen verschiedene Schlüssel für jede Verschlüsselungsmethode verwalten. Weitere Informationen zu TDE finden Sie unter Oracle Transparent Data Encryption, Verwenden von AWS CloudHSM Classic für das Speichern von Amazon RDS-Oracle-TDE-Schlüsseln oder Unterstützung von Microsoft SQL Server Transparenter Datenverschlüsselung.

Verwenden Sie AWS Key Management Service (AWS KMS) zur Verwaltung der Schlüssel für die Ver- und Entschlüsselung Ihrer Amazon RDS-Ressourcen. AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist. Mit AWS KMS können Sie Verschlüsselungsschlüssel erstellen und Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können. AWS KMS unterstützt CloudTrail, sodass Sie die Schlüsselverwendung überprüfen und sicherstellen können, dass die Schlüssel korrekt verwendet werden. Ihre AWS KMS-Schlüssel können zusammen mit Amazon RDS und unterstützten AWS-Services, wie z. B. Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS) und Amazon Redshift verwendet werden. Eine Liste der Services, die AWS KMS unterstützen, finden Sie unter Unterstützte Services im AWS Key Management Service-Entwicklerhandbuch.

Für eine Amazon RDS-verschlüsselte Instance werden alle Protokolle, Backups und Snapshots verschlüsselt. Ein Read Replica einer Amazon RDS-verschlüsselten Instance wird auch unter Verwendung derselben Schlüssel wie die Haupt-Instance verschlüsselt, wenn sich beide in derselben Region befinden. Wenn sich der Hauptdatensatz und das Read Replica in verschiedenen Regionen befinden, werden beide unter Verwendung des jeweiligen Schlüssels für die Region verschlüsselt. Sie können sowohl ein verschlüsseltes Read Replica einer unverschlüsselten DB-Instance als auch ein unverschlüsseltes Read Replica einer verschlüsselten DB-Instance erstellen.

Aktivieren von Amazon RDS-Verschlüsselung für eine DB-Instance

Um die Verschlüsslung für eine neue DB-Instance zu aktivieren, wählen Sie Yes bei Enable encryption in der Amazon RDS-Konsole. Weitere Informationen zum Erstellen einer DB-Instance finden Sie in den folgenden Themen:

Wenn Sie den AWS CLI-Befehl create-db-instance verwenden, um eine verschlüsselte RDS-DB-Instance zu erstellen, setzen Sie den Parameter --storage-encrypted auf "true". Wenn Sie die API-Aktion CreateDBInstance verwenden, setzen Sie den Parameter StorageEncrypted auf "true".

Wenn Sie eine verschlüsselte DB-Instance erstellen, können Sie auch die AWS KMS-Schlüsselkennung für Ihren Verschlüsselungsschlüssel mit angeben. Wenn Sie keine AWS KMS-Schlüsselkennung angeben, verwendet Amazon RDS Ihren Standard-Verschlüsselungsschlüssel für Ihre neue DB-Instance. AWS KMS erstellt Ihren Standardverschlüsselungsschlüssel für Amazon RDS für Ihr AWS-Konto. Ihr AWS-Konto verfügt für jede AWS-Region über einen anderen Standardverschlüsselungsschlüssel.

Nachdem Sie eine verschlüsselte DB-Instance erstellt haben, können Sie den Verschlüsselungsschlüssel für diese Instance nicht mehr ändern. Legen Sie daher bitte vorher die Voraussetzungen für Ihren Verschlüsselungsschlüssel fest, noch bevor Sie Ihre verschlüsselte DB-Instance erstellen.

Wenn Sie den AWS CLI-Befehl; create-db-instance verwenden, um einen verschlüsselte RDS-DB-Instance zu erstellen, setzen Sie den Parameter --kms-key-id auf den Amazon Resource Name (ARN) für den AWS KMS-Verschlüsselungsschlüssel für die DB-Instance. Wenn Sie die Amazon RDS-API-Aktion CreateDBInstance verwenden, setzen Sie den Parameter KmsKeyId auf den ARN für Ihren AWS KMS-Schlüssel für die DB-Instance.

Sie können den ARN eines Schlüssels aus einem anderen Konto verwenden, um eine RDS-DB-Instance zu verschlüsseln. Oder Sie erstellen eine DB-Instance mit demselben AWS-Konto, das den AWS KMS-Verschlüsselungsschlüssel besitzt, mit dem die neue DB-Instance verschlüsselt wird. In diesem Fall kann die übergebene AWS KMS-Schlüssel-ID anstelle der ARN des Schlüssels der AWS KMS-Schlüsselalias sein.

Wichtig

Wenn Amazon RDS den Zugriff auf den Verschlüsselungsschlüssel für eine DB-Instance verliert – z. B. weil der RDS-Zugriff auf einen Schlüssel widerrufen wurde – geht die verschlüsselte DB-Instance in einen Beendigungszustand. In diesem Fall können Sie die DB-Instance nur aus einem Backup wiederherstellen. Wir empfehlen nachdrücklich, dass Sie zu jeder Zeit Backups für verschlüsselte DB-Instances aktiviert lassen, um sich gegen den Datenverlust von verschlüsselten Daten in Ihren Datenbanken abzusichern.

Verfügbarkeit von Amazon RDS-verschlüsselten Instances

Die Amazon RDS-verschlüsselte Instances sind aktuell für alle Datenbank-Engines und Speichertypen verfügbar. Die Amazon RDS-Verschlüsselung ist zurzeit nicht für die Region China (Peking) verfügbar.

Die Amazon RDS-Verschlüsselung ist für die folgenden DB-Instance-Klassen verfügbar:

Instance-Typ Instance-Klasse

Allgemein (M4)

db.m4.large

db.m4.xlarge

db.m4.2xlarge

db.m4.4xlarge

db.m4.10xlarge

db.m4.16xlarge

RAM-optimiert (R3)

db.r3.large

db.r3.xlarge

db.r3.2xlarge

db.r3.4xlarge

db.r3.8xlarge

RAM-optimiert (R4)

db.r4.large

db.r4.xlarge

db.r4.2xlarge

db.r4.4xlarge

db.r4.8xlarge

db.r4.16xlarge

Burst-fähig (T2)

db.t2.small

db.t2.Medium

db.t2.large

db.t2.xlarge

db.t2.2xlarge

Allgemein (M3)

db.m3.medium

db.m3.large

db.m3.xlarge

db.m3.2xlarge

Anmerkung

Die Verschlüsselung im Ruhezustand ist für DB-Instance, die mit SQL Server Express Edition laufen, nicht verfügbar.

Verwalten von Amazon RDS-Verschlüsselungsschlüsseln

Sie können Schlüssel, die für Amazon RDS-verschlüsselte Instances verwendet werden, in AWS Key Management Service (AWS KMS) in der IAM-Konsole verwalten. Wenn Sie die vollständige Kontrolle über einen Schlüssel haben möchten, müssen Sie einen kundenverwalteten Schlüssel erstellen. Sie können von AWS KMS ausgestellte Standardschlüssel nicht löschen, widerrufen oder auswechseln.

Sie können Überprüfungsprotokolle zu jeder mit einem kundenverwalteten Schlüssel durchgeführten Aktion mithilfe von AWS CloudTrail ansehen.

Wichtig

Wenn Sie den Schlüssel für eine verschlüsselte DB-Instance deaktivieren, können Sie diese DB-Instance nicht mehr beschreiben und nicht mehr aus ihr lesen. Wenn Amazon RDS auf eine DB-Instance trifft, die durch einen Schlüssel verschlüsselt ist, auf den Amazon RDS keinen Zugriff hat, versetzt Amazon RDS diese DB-Instance in einen Beendigungszustand. In diesem Fall ist die DB-Instance nicht länger verfügbar und der aktuelle Zustand der Datenbank kann nicht mehr wiederhergestellt werden. Um die DB-Instance wiederherzustellen, müssen Sie den Zugriff auf den Verschlüsselungsschlüssel in Amazon RDS erneut aktivieren und die DB-Instance anschließend aus einem Backup wiederherstellen.

Einschränkungen von Amazon RDS-verschlüsselten Instances

Folgende Einschränkungen bestehen für Amazon RDS-verschlüsselte Instances:

  • Sie können eine Verschlüsselung für eine Amazon RDS-DB-Instance nur aktivieren, wenn Sie eine erstellen, nicht nachdem die DB-Instance bereits erstellt ist.

    Da es jedoch möglich ist, die Kopie eines unverschlüsselten DB-Snapshots zu verschlüsseln, können Sie effektiv eine Verschlüsselung zu einer unverschlüsselten DB-Instance hinzufügen. Dies lässt sich durchführen, indem Sie einen Snapshot von Ihrer DB-Instance erstellen und dann eine verschlüsselte Kopie dieses Snapshots erstellen. Anschließend können Sie Ihre DB-Instance aus dem verschlüsselten Snapshot wiederherstellen und verfügen so über eine verschlüsselte Kopie Ihrer ursprünglichen DB-Instance. Weitere Informationen finden Sie unter Kopieren eines DB-Snapshots oder DB-Cluster-Snapshots. Sie müssen einen Amazon Aurora-DB-Cluster-Snapshot nicht verschlüsseln, um eine verschlüsselte Kopie eines Aurora-DB-Clusters zu erstellen. Wenn Sie einen KMS-Verschlüsselungsschlüssel bei der Wiederherstellung eines unverschlüsselten DB-Cluster-Snapshots bestimmten, wird das DB-Cluster mithilfe des festgelegten KMS-Verschlüsselungsschlüssels verschlüsselt.

  • DB-Instances, die verschlüsselt sind, können nicht geändert werden, um die Verschlüsselung aufzuheben.

  • Verschlüsselte Read Replicas müssen mit demselben Schlüssel verschlüsselt sein wie die Quell-DB-Instance.

  • Sie können ein unverschlüsseltes Backup oder einen solchen Snapshot nicht als verschlüsselte DB-Instance wiederherstellen. Jedoch können Sie eine Wiederherstellung aus einem unverschlüsselten Aurora-DB-Cluster-Snapshot auf einem verschlüsselten Aurora-DB-Cluster durchführen, wenn Sie eine KMS-Verschlüsselung bei der Wiederherstellung aus dem unverschlüsselten DB-Cluster-Snapshot festlegen.

  • Sie müssen eine KMS-Schlüsselkennung in der Bestimmungsregion festlegen, um einen verschlüsselten Snapshot aus einer Region in die andere zu kopieren. Dies ist so, da die KMS-Verschlüsselungsschlüssel spezifisch für die Region sind, in der sie erstellt wurden.

Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. AWS Key Management Service verwendet "Envelope Encryption", um Daten während des Kopiervorgangs zu schützen. Weitere Informationen zu "Envelope Encryption" finden Sie unter Envelope Encryption.