So verwenden Elastic-Cluster von Amazon DocumentDB Zuschüsse in AWS KMS Erstellen und verwalten verwalten verwalten verwalten verwalten verwalten verwalten verwalten verwalten Überwachen und Deaktivieren Ihre Verschlüsselungsschlüssel für Amazon DocumentDB Elastic Clusters überwachen Weitere Informationen

Datenverschlüsselung im Ruhezustand im Ruhezustand und Deaktivieren Datenverschlüsselung Amazon DocumentDB DB-Cluster

Die folgenden Themen helfen Ihnen dabei, sich mit AWS Key Management Service Verschlüsselungsschlüsseln für Amazon DocumentDB DocumentDB-Elastic-Cluster vertraut zu machen, diese zu erstellen und zu überwachen:

Themen

So verwenden Elastic-Cluster von Amazon DocumentDB Zuschüsse in AWS KMS
Erstellen und verwalten verwalten verwalten verwalten verwalten verwalten verwalten verwalten verwalten
Überwachen und Deaktivieren Ihre Verschlüsselungsschlüssel für Amazon DocumentDB Elastic Clusters überwachen
Weitere Informationen

Amazon DocumentDB Elastic Clusters lassen sich für die Schlüsselverwaltung automatisch in AWS Key Management Service (AWS KMS) integrieren und verwenden zum Schutz Ihrer Daten eine Methode, die als Umschlagverschlüsselung bezeichnet wird. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service-Entwicklerhandbuch.

Importieren in &S3;AWS KMS keyDies ist eine logische Darstellung eines Schlüssels. Der KMS-Schlüssel enthält Metadaten wie die Schlüssel-ID, das Erstellungsdatum, die Beschreibung und den Schlüsselstatus. Der KMS-Schlüssel enthält auch das zur Ver- und Entschlüsselung von Daten verwendete Schlüsselmaterial. Weitere Informationen über KMS-Schlüssel finden Sie unter AWS KMS keys im AWS Key Management Service Developer Guide.

Elastic Cluster von Amazon DocumentDB unterstützen Verschlüsselung mit zwei Arten von Schlüsseln:

AWSeigene Schlüssel — Amazon DocumentDB Elastic Clusters verwenden diese Schlüssel standardmäßig, um personenbezogene Daten automatisch zu verschlüsseln. Sie können keine Schlüssel, verwalten und verwalten, verwenden und verwenden, verwalten und verwenden, verwalten und verwenden, AWS verwalten und verwenden, verwenden und verwalten, verwenden und verwalten, verwenden und verwenden, Sie müssen jedoch keine Maßnahmen oder Programme ändern, um die Schlüssel zur Datenverschlüsselung und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Weitere Informationen finden Sie unter AWSOwned Keys im AWS Key Management ServiceDeveloper Guide.
KundenverwalteteAWS KMS keys, besitzen und verwalten. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie folgende Aufgaben ausführen:
- Festlegung und Aufrechterhaltung wichtiger Richtlinien
- Festlegung und Pflege von IAM-Richtlinien und Zuschüssen
- Aktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren und Deaktivieren
- Drehbares Schlüsselverschlüsseltes kryptografisches Schlüsselmaterial
- Hinzufügen von Tags
- Schlüsselaliase erstellen
- Schlüssel für das Löschen planen
Weitere Informationen finden Sie im AWS Key Management ServiceEntwicklerhandbuch unter Vom Kunden verwaltete Schlüssel.

Wichtig

Sie müssen einen symmetrischen Verschlüsselungs-KMS verwenden, um Ihren Cluster zu verschlüsseln, da Amazon DocumentDB nur symmetrische Verschlüsselungs-KMS-Schlüssel unterstützt. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um die Daten in Ihren Amazon DocumentDB Elastic Clusters zu verschlüsseln. Weitere Informationen finden Sie AWS KMSim AWS Key Management ServiceEntwicklerhandbuch unter Asymmetrische Schlüssel.

Wenn Amazon DocumentDB keinen Zugriff mehr auf den Verschlüsselungsschlüssel für einen Cluster erhalten kann - zum Beispiel, wenn der Zugriff auf einen Schlüssel widerrufen wird - geht der verschlüsselte Cluster in einen Endzustand über. In diesem Fall können Sie den Cluster nur aus einer Sicherung wiederherstellen. Für Amazon DocumentDB sind Backups immer für einen Tag aktiviert. Wenn Sie den Schlüssel für einen verschlüsselten Amazon DocumentDB-Cluster deaktivieren, verlieren Sie außerdem irgendwann den Lese- und Schreibzugriff auf diesen Cluster. Wenn Amazon DocumentDB auf einen Cluster trifft, der durch einen Schlüssel verschlüsselt ist, auf den es keinen Zugriff hat, versetzt es den Cluster in einen Endzustand. In diesem Fall ist der Cluster nicht länger verfügbar und der aktuelle Zustand der Datenbank kann nicht mehr wiederhergestellt werden. Um den Cluster wiederherzustellen, müssen Sie den Zugriff auf den Verschlüsselungsschlüssel für Amazon DocumentDB erneut aktivieren und den Cluster anschließend aus einer Sicherungsdatei wiederherstellen.

Wichtig

Sie können den KMS-Schlüssel für einen verschlüsselten Cluster nicht mehr ändern, nachdem Sie ihn bereits erstellt haben. Stellen Sie sicher, die Anforderungen für Ihren Verschlüsselungsschlüssel zu definieren, bevor Sie Ihr verschlüsseltes Elastic Cluster erstellen.

So verwenden Elastic-Cluster von Amazon DocumentDB Zuschüsse in AWS KMS

Amazon DocumentDB Elastic Clusters benötigen eine Genehmigung, um Ihren kundenverwalteten Schlüssel verwenden zu können.

Wenn Sie einen Cluster erstellen, die/der mit einem kundenverwalteten Schlüssel verschlüsselt ist, erstellen Amazon DocumentDB Elastic Clusters in Ihrem Namen eine Genehmigung, indem sie eine CreateGrant Anfrage an AWS KMS senden. Genehmigungen in AWS KMS werden verwendet, um Amazon DocumentDB Elastic Clusters Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.

Amazon DocumentDB Elastic Clusters benötigen die Genehmigung, Ihren Kunden verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:

Senden Sie DescribeKey Anfragen an, AWS KMS um zu überprüfen, ob die symmetrische, vom Kunden verwaltete KMS-Schlüssel-ID, die beim Erstellen einer Tracker- oder Geofence-Sammlung eingegeben wurde, gültig ist.
Senden Sie GenerateDataKey Anfragen an, AWS KMS um Datenschlüssel zu generieren, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
Senden Sie Decrypt Anfragen AWS KMS an, die verschlüsselten Datenschlüssel zu entschlüsseln, damit Sie diese zur Verschlüsselung Ihrer Daten verwenden können.
Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, können Amazon DocumentDB Elastic Clusters nicht auf die vom kundenverwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind.

Erstellen und verwalten verwalten verwalten verwalten verwalten verwalten verwalten verwalten verwalten

Sie können einen symmetrischen, kundenverwalteten Schlüssel erstellen, indem Sie die AWS Management Console oder die AWS KMS -API verwenden.

Symmetrische kundenverwaltete Schlüsselerstellung

Folgen Sie den Schritten zur Erstellung eines symmetrischen, vom Kunden verwalteten Schlüssels im AWS Key Management ServiceEntwicklerhandbuch.

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie in den Informationen zum KMS-Schlüsselzugriff in der AWS Key Management ServiceÜbersicht des AWS Key Management ServiceEntwicklerhandbuchs.

Um Ihren kundenverwalteten Schlüssel mit den Elastic-Cluster-Ressourcen von Amazon DocumentDB verwenden zu können, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zulässig sein:

kms:CreateGrant— Fügt einem vom Kunden verwalteten Schlüssel einen Zuschuss hinzu. Gewährt Kontrollzugriff auf einen bestimmten KMS-Schlüssel, der den Zugriff auf die von Amazon Location Service benötigten Vorgänge ermöglicht. Weitere Informationen zur Verwendung von Zuschüssen finden Sie AWS KMSim AWS Key Management ServiceEntwicklerhandbuch unter Zuschüsse.
kms:DescribeKey— Stellt die kundenverwalteten Schlüsseldetails bereit, damit Docdb Elastic den Schlüssel validieren kann.
kms:Decrypt— Ermöglicht Docdb Elastic, den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf verschlüsselte Daten zu verwenden.
kms:GenerateDataKey— Ermöglicht Docdb Elastic, einen verschlüsselten Datenschlüssel zu generieren und zu speichern, da der Datenschlüssel nicht sofort zum Verschlüsseln verwendet wird.

Weitere Informationen finden Sie unter Berechtigungen für AWS Dienste in den wichtigsten Richtlinien und unter Problembehandlung bei Schlüsselzugriffen im AWS Key Management ServiceEntwicklerhandbuch.

Beschränkung des vom Kunden verwalteten Schlüsselzugriffs über IAM-Richtlinien

Zusätzlich zu den KMS-Schlüsselrichtlinien können Sie in einer IAM-Richtlinie auch die KMS-Schlüsselberechtigungen einschränken.

Sie können die IAM-Richtlinie auf verschiedene Weise strikter gestalten. Damit der kundenverwaltete Schlüssel beispielsweise nur für Anforderungen aus Amazon DocumentDB Elastic Clusters verwendet werden kann, können Sie den kms:ViaServiceBedingungsschlüssel mit dem docdb-elastic.<region-name>.amazonaws.com Wert verwenden.

Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung eines KMS-Schlüssels erlauben im AWS Key Management Service-Entwicklerhandbuch.

Überwachen und Deaktivieren Ihre Verschlüsselungsschlüssel für Amazon DocumentDB Elastic Clusters überwachen

Wenn Sie einen vom AWS KMS key Kunden verwalteten Schlüssel mit Ihren Docdb Elastic-Ressourcen verwenden, können Sie Amazon CloudWatch Logs verwendenAWS CloudTrail, um Anfragen zu verfolgen, an die Docdb Elastic sendet. AWS KMS

Die folgenden Beispiele sind AWS CloudTrail Ereignisse fürCreateGrant,, und DescribeKey zur Überwachung von AWS KMS key Vorgängen GenerateDataKeyWithoutPlainTextDecrypt, die von Elastic-Clustern von Amazon DocumentDB aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:

CreateGrant


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-05-09T23:04:20Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "docdb-elastic.amazonaws.com"
    },
    "eventTime": "2023-05-09T23:55:48Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "docdb-elastic.amazonaws.com",
    "userAgent": "docdb-elastic.amazonaws.com",
    "requestParameters": {
        "retiringPrincipal": "docdb-elastic.us-east-1.amazonaws.com",
        "granteePrincipal": "docdb-elastic.us-east-1.amazonaws.com",
        "operations": [
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo",
            "CreateGrant",
            "RetireGrant",
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKey


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-05-10T18:02:59Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "docdb-elastic.amazonaws.com"
    },
    "eventTime": "2023-05-10T18:03:25Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "docdb-elastic.amazonaws.com",
    "userAgent": "docdb-elastic.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Decrypt


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-05-10T18:05:49Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "docdb-elastic.amazonaws.com"
    },
    "eventTime": "2023-05-10T18:06:19Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "docdb-elastic.amazonaws.com",
    "userAgent": "docdb-elastic.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

DescribeKey


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-05-09T23:04:20Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "docdb-elastic.amazonaws.com"
    },
    "eventTime": "2023-05-09T23:55:48Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "docdb-elastic.amazonaws.com",
    "userAgent": "docdb-elastic.amazonaws.com",
    "requestParameters": {
        "keyId": "alias/SampleKmsKey"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Weitere Informationen

Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand:

Weitere Informationen zu AWS KMS Konzepten finden Sie unter AWS Key Management ServiceGrundkonzepte im AWS Key Management ServiceEntwicklerhandbuch.
Weitere Informationen zur AWS KMS Sicherheit finden Sie unter Bewährte Sicherheitsmethoden AWS Key Management Service im AWS Key Management ServiceEntwicklerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Stoppen und Starten eines elastischen Clusters

Service-verknüpfte Rollen