Verschlüsselung im Ruhezustand in MemoryDB - Amazon MemoryDB

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand in MemoryDB

Um Ihre Daten zu schützen, bieten MemoryDB und Amazon S3 verschiedene Möglichkeiten, den Zugriff auf Daten in Ihren Clustern einzuschränken. Weitere Informationen finden Sie unter MemoryDB und Amazon VPC und Identitäts- und Zugriffsmanagement in MemoryDB.

Die Verschlüsselung im Ruhezustand von MemoryDB ist immer aktiviert, um die Datensicherheit durch Verschlüsselung persistenter Daten zu erhöhen. Sie verschlüsselt die folgenden Aspekte:

  • Daten im Transaktionslog

  • Festplatte bei Synchronisierungs-, Snapshot- und Swap-Vorgängen

  • In Amazon S3 gespeicherte Schnappschüsse

MemoryDB bietet standardmäßige (vom Service verwaltete) Verschlüsselung im Ruhezustand sowie die Möglichkeit, Ihre eigenen symmetrischen, vom Kunden verwalteten Stammschlüssel im AWS Key Management Service (KMS) zu verwenden.

Daten, die auf SSDs (Solid-State-Laufwerken) in Clustern mit aktivierter Datenklassifizierung gespeichert sind, werden standardmäßig immer verschlüsselt.

Weitere Informationen über Verschlüsselung während der Übertragung finden Sie unter Verschlüsselung während der Übertragung (TLS) in MemoryDB.

Verwenden von vom Kunden verwalteten Schlüsseln von KMS AWS

MemoryDB unterstützt symmetrische, vom Kunden verwaltete Stammschlüssel (KMS-Schlüssel) für die Verschlüsselung im Ruhezustand. Kundenverwaltete KMS-Schlüssel sind Verschlüsselungsschlüssel, die Sie in Ihrem Konto erstellen, besitzen und verwalten. AWS Weitere Informationen finden Sie unter Stammschlüssel für Kunden im AWS Key Management Service Developer Guide. Die Schlüssel müssen in AWS KMS erstellt werden, bevor sie mit MemoryDB verwendet werden können.

Informationen zum Erstellen von AWS KMS-Root-Schlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

MemoryDB ermöglicht Ihnen die Integration mit AWS KMS. Weitere Informationen finden Sie unter Verwendung von Berechtigungen im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst. Es sind keine Kundenaktionen erforderlich, um die MemoryDB-Integration mit KMS zu aktivieren. AWS

Der kms:ViaService Bedingungsschlüssel beschränkt die Verwendung eines AWS KMS-Schlüssels auf Anfragen von bestimmten AWS Diensten. Zur Verwendung kms:ViaService mit MemoryDB schließen Sie beide ViaService Namen in den Wert des Bedingungsschlüssels ein:. memorydb.amazon_region.amazonaws.com Weitere Informationen finden Sie unter kms:. ViaService

Sie können AWS CloudTraildamit die Anfragen verfolgen, an die MemoryDB in AWS Key Management Service Ihrem Namen sendet. Alle API-Aufrufe, die sich auf AWS Key Management Service vom Kunden verwaltete Schlüssel beziehen, haben entsprechende CloudTrail Protokolle. Sie können auch die Grants sehen, die MemoryDB erstellt, indem Sie den ListGrantsKMS-API-Aufruf aufrufen.

Sobald ein Cluster mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde, werden alle Snapshots für den Cluster wie folgt verschlüsselt:

  • Automatische tägliche Snapshots werden mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der dem Cluster zugeordnet ist.

  • Der endgültige Snapshot, der beim Löschen des Clusters erstellt wird, wird ebenfalls mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der dem Cluster zugeordnet ist.

  • Manuell erstellte Snapshots werden standardmäßig so verschlüsselt, dass sie den KMS-Schlüssel verwenden, der dem Cluster zugeordnet ist. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.

  • Beim Kopieren eines Snapshots wird standardmäßig der vom Kunden verwaltete Schlüssel verwendet, der dem Quell-Snapshot zugeordnet ist. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.

Anmerkung
  • Vom Kunden verwaltete Schlüssel können nicht verwendet werden, wenn Snapshots in den ausgewählten Amazon S3 S3-Bucket exportiert werden. Alle nach Amazon S3 exportierten Snapshots werden jedoch mit serverseitiger Verschlüsselung verschlüsselt. Sie können die Snapshot-Datei in ein neues S3-Objekt kopieren und mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsseln, die Datei in einen anderen S3-Bucket kopieren, der mit Standardverschlüsselung mit einem KMS-Schlüssel eingerichtet ist, oder eine Verschlüsselungsoption in der Datei selbst ändern.

  • Sie können auch vom Kunden verwaltete Schlüssel verwenden, um manuell erstellte Snapshots zu verschlüsseln, die keine vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden. Mit dieser Option wird die in Amazon S3 gespeicherte Snapshot-Datei mit einem KMS-Schlüssel verschlüsselt, obwohl die Daten auf dem ursprünglichen Cluster nicht verschlüsselt sind.

Bei der Wiederherstellung aus einem Snapshot können Sie aus verfügbaren Verschlüsselungsoptionen wählen, ähnlich den Verschlüsselungsoptionen, die bei der Erstellung eines neuen Clusters verfügbar sind.

  • Wenn Sie den Schlüssel löschen oder den Schlüssel deaktivieren und Berechtigungen für den Schlüssel, den Sie zur Verschlüsselung eines Clusters verwendet haben, widerrufen, kann der Cluster nicht mehr wiederhergestellt werden. Mit anderen Worten, er kann nach einem Hardwarefehler nicht geändert oder wiederhergestellt werden. AWS KMS löscht Root-Schlüssel erst nach einer Wartezeit von mindestens sieben Tagen. Nachdem der Schlüssel gelöscht wurde, können Sie einen anderen vom Kunden verwalteten Schlüssel verwenden, um einen Snapshot für Archivierungszwecke zu erstellen.

  • Bei der automatischen Schlüsselrotation bleiben die Eigenschaften Ihrer AWS KMS-Root-Schlüssel erhalten, sodass die Rotation keine Auswirkungen auf Ihre Fähigkeit hat, auf Ihre MemoryDB-Daten zuzugreifen. Verschlüsselte MemoryDB-Cluster unterstützen keine manuelle Schlüsselrotation, bei der ein neuer Stammschlüssel erstellt und alle Verweise auf den alten Schlüssel aktualisiert werden müssen. Weitere Informationen finden Sie unter Rotation der Stammschlüssel von Kunden im AWS Key Management Service Developer Guide.

  • Für die Verschlüsselung eines MemoryDB-Clusters mithilfe eines KMS-Schlüssels ist ein Grant pro Cluster erforderlich. Dieser Zuschuss wird während der gesamten Lebensdauer des Clusters verwendet. Darüber hinaus wird bei der Snapshot-Erstellung ein Grant pro Snapshot verwendet. Dieser Zuschuss wird zurückgezogen, sobald der Snapshot erstellt wurde.

  • Weitere Informationen zu AWS KMS-Zuschüssen und -Limits finden Sie unter Kontingente im AWS Key Management Service Developer Guide.

Weitere Informationen finden Sie unter: