Amazon Relational Database Service
Benutzerhandbuch

Verschlüsseln von Amazon RDS-Ressourcen

Sie können Ihre Amazon RDS-DB-Instances und Snapshots im Ruhezustand verschlüsseln, wenn Sie die Verschlüsselungsoption für Ihre Amazon RDS-DB-Instances aktivieren. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz von DB-Instances sowie deren automatisierte Sicherungen, Read Replicas und Snapshots.

Amazon RDS-verschlüsselte DB-Instances verwenden den standardmäßig in der Branche verwendeten AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre Amazon RDS-DB-Instances hostet. Sobald Sie die Daten verschlüsselt haben, übernimmt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten auf transparente Art und Weise und mit minimaler Auswirkung auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden.

Anmerkung

Bei verschlüsselten und unverschlüsselten DB-Instances werden Daten zwischen der Quelle und den Read Replicas verschlüsselt, auch wenn die Replikation AWS-regionsübergreifend erfolgt.

Übersicht über die Verschlüsselung von Amazon RDS-Ressourcen

Amazon RDS-verschlüsselte DB-Instances bieten zusätzlichen Datenschutz, indem Sie Ihre Daten vor unautorisiertem Zugriff auf den zugehörigen Speicherplatz sichern. Sie können Amazon RDS-Verschlüsselung verwenden, um den Datenschutz in Ihren Cloud-Anwendungen zu erhöhen und um die Compliance-Anforderungen bei der Verschlüsselung von Daten im Ruhezustand zu erfüllen.

Amazon RDS unterstützt auch die Verschlüsselung einer Oracle- oder SQL Server-DB-Instance mit Transparent Data Encryption (TDE). TDE kann mit Verschlüsselung im Ruhezustande verwendet werden, jedoch kann sich die gleichzeitige Verwendung von TDE mit Verschlüsselung im Ruhezustand geringfügig auf die Leistung Ihrer Datenbank auswirken. Sie müssen verschiedene Schlüssel für jede Verschlüsselungsmethode verwalten. Weitere Informationen zu TDE finden Sie unter Oracle Transparent Data Encryption oder Unterstützung von Microsoft SQL Server Transparenter Datenverschlüsselung.

Verwenden Sie zur Verwaltung der Schlüssel für die Ver- und Entschlüsselung Ihrer Amazon RDS-Ressourcen AWS Key Management Service (AWS KMS). AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist. Mit AWS KMS können Sie Verschlüsselungsschlüssel erstellen und Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können. AWS KMS unterstützt CloudTrail, sodass Sie die Schlüsselverwendung überprüfen und sicherstellen können, dass die Schlüssel korrekt verwendet werden. Sie können Ihre AWS KMS-Schlüssel in Kombination mit Amazon RDS und unterstützten AWS-Services, wie z. B. Amazon S3, Amazon EBS und Amazon Redshift, verwenden. Eine Liste der Services, die AWS KMS unterstützen, finden Sie unter Unterstützte Services im AWS Key Management Service-Entwicklerhandbuch.

Für eine Amazon RDS-verschlüsselte DB-Instance werden alle Protokolle, Backups und Snapshots verschlüsselt. Eine Read Replica einer Amazon RDS-verschlüsselten Instance wird auch unter Verwendung derselben Schlüssel wie die Haupt-Instance verschlüsselt, wenn sich beide in derselben AWS-Region befinden. Wenn sich die Haupt-Instance und die Read Replica in verschiedenen AWS-Regionen befinden, werden beide unter Verwendung des jeweiligen Schlüssels für die AWS-Region verschlüsselt.

Aktivieren von Amazon RDS-Verschlüsselung für eine DB-Instance

Wählen Sie Verschlüsselung aktivieren in der Amazon RDS-Konsole, um die Verschlüsslung für eine neue DB-Instance zu aktivieren. Weitere Informationen zum Erstellen einer DB-Instance finden Sie in den folgenden Themen:

Wenn Sie den AWS CLI-Befehl create-db-instance verwenden, um eine verschlüsselte DB-Instance zu erstellen, setzen Sie den Parameter --storage-encrypted auf "true". Wenn Sie die API-Operation CreateDBInstance verwenden, legen Sie den Parameter StorageEncrypted auf „true“ fest.

Wenn Sie eine verschlüsselte DB-Instance erstellen, können Sie auch die AWS KMS-Schlüsselkennung für Ihren Verschlüsselungsschlüssel mit angeben. Wenn Sie keine AWS KMS-Schlüsselkennung angeben, verwendet Amazon RDS Ihren Standardverschlüsselungsschlüssel für Ihre neue DB-Instance. AWS KMS erstellt Ihren Standardverschlüsselungsschlüssel für Amazon RDS für Ihr AWS-Konto. Ihr AWS-Konto verfügt für jede AWS-Region über einen anderen Standardverschlüsselungsschlüssel.

Nach dem Erstellen einer verschlüsselten DB-Instance können Sie den Typ des Verschlüsselungsschlüssels für diese DB-Instance nicht mehr ändern. Stellen Sie daher sicher, die Anforderungen für Ihre Verschlüsselungsschlüssel zu definieren, bevor Sie Ihre verschlüsselte DB-Instance erstellen.

Wenn Sie den AWS CLI-Befehl create-db-instance verwenden, um eine verschlüsselte DB-Instance zu erstellen, setzen Sie den Parameter --kms-key-id auf den Amazon-Ressourcennamen (ARN) für den AWS KMS-Verschlüsselungsschlüssel für die DB-Instance. Wenn Sie die Amazon RDS-API-Aktion CreateDBInstance verwenden, setzen Sie den Parameter KmsKeyId auf den ARN für Ihren AWS KMS-Schlüssel für die DB-Instance.

Sie können den ARN eines Schlüssels aus einem anderen Konto verwenden, um eine DB-Instance zu verschlüsseln. Oder Sie erstellen eine DB-Instance mit demselben AWS-Konto, das den AWS KMS-Verschlüsselungsschlüssel besitzt, mit dem die neue DB-Instance verschlüsselt wird. In diesem Fall kann die übergebene AWS KMS-Schlüssel-ID anstelle der ARN des Schlüssels der AWS KMS-Schlüsselalias sein.

Verfügbarkeit der Amazon RDS-Verschlüsselung

Die Amazon RDS-Verschlüsselung ist aktuell für alle Datenbank-Engines und Speichertypen verfügbar.

Amazon RDS-Verschlüsselung ist für die meisten DB-Instance-Klassen verfügbar. In der folgenden Tabelle sind die DB-Instance-Klassen aufgeführt, die Amazon RDS-Verschlüsselung nicht unterstützen:

Instance-Typ Instance-Klasse

Allzweck (M1)

db.m1.small

db.m1.medium

db.m1.large

db.m1.xlarge

RAM-optimiert (M2)

db.m2.xlarge

db.m2.2xlarge

db.m2.4xlarge

Burst-fähig (T2)

db.t2.micro

Anmerkung

Die Verschlüsselung im Ruhezustand ist für DB-Instance, die mit SQL Server Express Edition laufen, nicht verfügbar.

Einschränkungen von Amazon RDS-verschlüsselten DB-Instances

Folgende Einschränkungen bestehen für Amazon RDS-verschlüsselte DB-Instances:

  • Sie können eine Verschlüsselung für eine Amazon RDS-DB-Instance nur aktivieren, wenn Sie eine erstellen, nicht nachdem die DB-Instance bereits erstellt ist.

    Da es jedoch möglich ist, die Kopie eines unverschlüsselten DB-Snapshots zu verschlüsseln, können Sie effektiv eine Verschlüsselung zu einer unverschlüsselten DB-Instance hinzufügen. Dies lässt sich durchführen, indem Sie einen Snapshot von Ihrer DB-Instance erstellen und dann eine verschlüsselte Kopie dieses Snapshots erstellen. Anschließend können Sie Ihre DB-Instance aus dem verschlüsselten Snapshot wiederherstellen und verfügen so über eine verschlüsselte Kopie Ihrer ursprünglichen DB-Instance. Weitere Informationen finden Sie unter Kopieren eines Snapshots.

  • Verschlüsselte DB-Instances können nicht geändert werden, um die Verschlüsselung aufzuheben.

  • Sie können nicht über eine verschlüsselte Read Replica einer unverschlüsselten DB-Instance oder eine unverschlüsselte Read Replica einer verschlüsselten DB-Instance verfügen.

  • Verschlüsselte Read Replicas müssen mit demselben Schlüssel verschlüsselt sein wie die Quell-DB-Instance.

  • Sie können ein unverschlüsseltes Backup oder einen solchen Snapshot nicht als verschlüsselte DB-Instance wiederherstellen.

  • Sie müssen eine KMS-Schlüsselkennung in der AWS-Zielregion festlegen, um einen verschlüsselten Snapshot von einer AWS-Region in die andere zu kopieren. Dies ist so, da die KMS-Verschlüsselungsschlüssel spezifisch für die AWS-Region sind, in der sie erstellt wurden.

    Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. AWS Key Management Service verwendet "Envelope Encryption", um Daten während des Kopiervorgangs zu schützen. Weitere Informationen zu Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung.