Verschlüsseln von Amazon RDS-Ressourcen - Amazon Relational Database Service

Verschlüsseln von Amazon RDS-Ressourcen

Amazon RDS kann Ihre Amazon RDS-DB-Instances verschlüsseln. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz von DB-Instances sowie deren automatisierte Sicherungen, Lesereplikate und Snapshots.

Amazon RDS-verschlüsselte DB-Instances verwenden den standardmäßig in der Branche verwendeten AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre Amazon RDS-DB-Instances hostet. Sobald Sie die Daten verschlüsselt haben, übernimmt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten auf transparente Art und Weise und mit minimaler Auswirkung auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um Verschlüsselung anzuwenden.

Anmerkung

Bei verschlüsselten und unverschlüsselten DB-Instances- werden Daten zwischen der Quelle und den Lesereplikaten verschlüsselt, auch wenn die Replikation AWS-regionsübergreifend erfolgt.

Übersicht über die Verschlüsselung von Amazon RDS-Ressourcen

Amazon RDS-verschlüsselte DB-Instances bieten zusätzlichen Datenschutz, indem Sie Ihre Daten vor unautorisiertem Zugriff auf den zugehörigen Speicherplatz sichern. Sie können die Amazon RDS-Verschlüsselung verwenden, um den Datenschutz für Ihre in der Cloud bereitgestellten Anwendungen zu erhöhen und die Compliance-Anforderungen bei der Verschlüsselung von Daten im Ruhezustand zu erfüllen.

Amazon RDS unterstützt auch die Verschlüsselung einer Oracle- oder SQL Server-DB-Instance mit Transparent Data Encryption (TDE). TDE kann mit Verschlüsselung im Ruhezustande verwendet werden, jedoch kann sich die gleichzeitige Verwendung von TDE mit Verschlüsselung im Ruhezustand geringfügig auf die Leistung Ihrer Datenbank auswirken. Sie müssen verschiedene Schlüssel für jede Verschlüsselungsmethode verwalten. Weitere Informationen zu TDE finden Sie unter Oracle Transparent Data Encryption oder Unterstützung für transparente Datenverschlüsselung in SQL Server.

Für eine Amazon-RDS-verschlüsselte DB-Instance werden alle Protokolle, Backups und Snapshots verschlüsselt. Amazon RDS verwendet einen AWS KMS-Kundenmasterschlüssel (CMK), um diese Ressourcen zu verschlüsseln. Weitere Informationen zu CMKs finden Sie unter Kundenmasterschlüssel (CMKs) im AWS Key Management Service-Entwicklerhandbuch. Wenn Sie einen verschlüsselten Snapshot kopieren, können Sie zum Verschlüsseln des Ziel-Snapshots einen anderen CMK als zum Verschlüsseln des Quell-Snapshots verwenden.

Ein Lesereplikat einer mit Amazon RDS verschlüsselten Instance muss mit demselben CMK wie die primäre DB-Instance verschlüsselt werden, wenn sich beide in derselben AWS-Region befinden. Wenn sich die primäre DB-Instance und das Read Replica in unterschiedlichen AWS-Regionen befinden, wird das Read Replica mit dem CMK für die betreffende AWS-Region verschlüsselt.

Verwenden Sie zur Verwaltung der Kundenmasterschlüssel (CMKs) für die Ver- und Entschlüsselung Ihrer Amazon-RDS-Ressourcen AWS Key Management Service (AWS KMS). AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist. Mit AWS KMS können Sie CMKs erstellen und die Richtlinien definieren, die steuern, wie diese CMKs verwendet werden können. AWS KMS unterstützt CloudTrail, sodass Sie die CMK-Verwendung überprüfen und sicherstellen können, dass die CMKs korrekt verwendet werden. Sie können Ihre CMKs mit Amazon RDS und unterstützten AWS-Services wie Amazon S3, Amazon EBS und Amazon Redshift verwenden. Eine Liste der Services, die in AWS KMS integriert sind, finden Sie unter Unterstützte Services im AWS Key Management Service-Entwicklerhandbuch.

Aktivieren der Amazon RDS-Verschlüsselung für eine DB-Instance

Wählen Sie Verschlüsselung aktivieren in der Amazon RDS-Konsole, um die Verschlüsslung für eine neue DB-Instance zu aktivieren. Hinweise zum Erstellen einer DB-Instance finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

Wenn Sie den AWS CLI-Befehl create-db-instance verwenden, um eine verschlüsselte DB-Instance zu erstellen, legen Sie den Parameter --storage-encrypted fest. Wenn Sie die API-Operation CreateDBInstance verwenden, legen Sie den Parameter StorageEncrypted auf „true“ fest.

Wenn Sie eine verschlüsselte DB-Instance erstellen, können Sie einen vom Kunden verwalteten CMK oder den von AWS verwalteten CMK zum Verschlüsseln Ihrer DB-Instance durch Amazon RDS auswählen. Wenn Sie keine Schlüsselkennung für einen vom Kunden verwalteten CMK angeben, verwendet Amazon RDS den von AWS verwalteten CMK für Ihre neue DB-Instance. Amazon RDS erstellt eine von AWS verwaltete CMK für Amazon RDS für Ihr AWS-Konto. Ihr AWS-Konto verfügt für jede AWS-Region über einen anderen von AWS verwalteten CMK für Amazon RDS.

Nach der Erstellung einer verschlüsselten DB-Instance können Sie den CMK, der für diese DB-Instance verwendet wird, nicht mehr ändern. Stellen Sie daher sicher, die Anforderungen für Ihren CMK zu definieren, bevor Sie Ihre verschlüsselte DB-Instance erstellen.

Wenn Sie den AWS CLI-Befehl create-db-instance verwenden, um eine verschlüsselte DB-Instance mit einem vom Kunden verwalteten CMK zu erstellen, legen Sie den Parameter --kms-key-id auf eine beliebige Schlüsselkennung für den CMK fest. Wenn Sie die Amazon RDS-API-Operation CreateDBInstance verwenden, legen Sie den Parameter KmsKeyId auf eine beliebige Schlüsselkennung für den CMK fest. Zur Verwendung eines vom Kunden verwalteten CMK in einem anderen AWS-Konto geben Sie den Schlüssel-ARN oder Alias-ARN an.

Wichtig

Wenn Amazon RDS den Zugriff auf den CMK für eine DB-Instance verliert – z. B. weil der RDS-Zugriff auf einen CMK widerrufen wurde – wechselt die verschlüsselte DB-Instance in einen Beendigungszustand. In diesem Fall können Sie die DB-Instance nur aus einem Backup wiederherstellen. Wir empfehlen nachdrücklich, dass Sie zu jeder Zeit Backups für verschlüsselte DB-Instances aktiviert lassen, um sich gegen den Datenverlust von verschlüsselten Daten in Ihren Datenbanken abzusichern.

Verfügbarkeit der Amazon RDS-Verschlüsselung

Die Amazon RDS-Verschlüsselung ist aktuell für alle Datenbank-Engines und Speichertypen verfügbar.

Amazon RDS-Verschlüsselung ist für die meisten DB-Instance-Klassen verfügbar. In der folgenden Tabelle sind die DB-Instance-Klassen aufgeführt, die Amazon RDS-Verschlüsselung nicht unterstützen:

Instance-Typ Instance class

Allzweck (M1)

db.m1.small

db.m1.medium

db.m1.large

db.m1.xlarge

RAM-optimiert (M2)

db.m2.xlarge

db.m2.2xlarge

db.m2.4xlarge

Burst-fähig (T2)

db.t2.micro

Anmerkung

Die Verschlüsselung im Ruhezustand ist für DB-Instance, die mit SQL Server Express Edition laufen, nicht verfügbar.

Einschränkungen von Amazon-RDS-verschlüsselten DB-instances

Folgende Einschränkungen bestehen für Amazon RDS-verschlüsselte DB-Instances:

  • Sie können eine Verschlüsselung für eine Amazon RDS-DB-Instance nur aktivieren, wenn Sie eine erstellen, nicht nachdem die DB-Instance bereits erstellt ist.

    Da es jedoch möglich ist, die Kopie eines unverschlüsselten Snapshots zu verschlüsseln, können Sie quasi eine Verschlüsselung zu einer unverschlüsselten DB-Instance hinzufügen. Dies lässt sich durchführen, indem Sie einen Snapshot von Ihrer DB-Instance erstellen und dann eine verschlüsselte Kopie dieses Snapshots erstellen. Anschließend können Sie Ihre DB-Instance aus dem verschlüsselten Snapshot wiederherstellen und verfügen so über eine verschlüsselte Kopie Ihrer ursprünglichen DB-Instance. Weitere Informationen finden Sie unter Kopieren eines snapshot.

  • Sie können die Verschlüsselung für eine(n) verschlüsselte(n) DB-Instance nicht deaktivieren.

  • Sie können keinen verschlüsselten Snapshot einer/eines unverschlüsselten DB-Instance erstellen.

  • Ein Snapshot einer/eines verschlüsselten DB-Instance muss mit demselben CMK wie die/der DB-Instance verschlüsselt werden.

  • Es ist nicht möglich, ein verschlüsseltes Lesereplikat einer unverschlüsselten DB-Instance oder ein unverschlüsseltes Lesereplikat einer verschlüsselten DB-Instance zu erstellen.

  • Verschlüsselte Read Replicas müssen mit demselben CMK wie die Quell-DB-Instance verschlüsselt werden, wenn sich beide in derselben AWS-Region befinden.

  • Sie können ein unverschlüsseltes Backup oder einen solchen Snapshot nicht als verschlüsselte DB-Instance wiederherstellen.

  • Sie müssen den CMK in der AWS-Zielregion angeben, um einen verschlüsselten Snapshot von einer AWS-Region in eine andere zu kopieren. Das liegt daran, dass CMKs spezifisch für die AWS-Region sind, in der sie erstellt werden.

    Der Quell-Snapshot bleibt den gesamten Kopiervorgang über verschlüsselt. Amazon RDS verwendet Envelope-Verschlüsselung, um Daten während des Kopiervorgangs zu schützen. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service-Entwicklerhandbuch.

  • Sie können eine(n) verschlüsselte(n) DB-Instance nicht entschlüsseln. Sie können jedoch Daten aus einer/einem verschlüsselten DB-Instance exportieren und die Daten in eine(n) unverschlüsselte(n) DB-Instance importieren.