Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de datos de Amazon DocumentDB en reposo
nota
AWS KMS está sustituyendo el término clave maestra del cliente (CMK) por una AWS KMS keyclave. KMS El concepto no ha cambiado. Para evitar cambios importantes, AWS KMS mantiene algunas variaciones de este término.
Puede cifrar los datos en reposo del clúster de Amazon DocumentDB especificando la opción de cifrado de almacenamiento al crear el clúster. El cifrado de almacenamiento está habilitado para todo el clúster y se aplica a todas las instancias, incluida la instancia principal y las réplicas. También se aplica al volumen de almacenamiento, los datos, los índices, los registros, las copias de seguridad automatizadas y las instantáneas del clúster.
Amazon DocumentDB utiliza el estándar de cifrado avanzado de 256 bits (AES-256) para cifrar los datos mediante claves de cifrado almacenadas en (). AWS Key Management Service AWS KMS Si utiliza un clúster de Amazon DocumentDB con el cifrado en reposo activado, no necesita modificar la lógica de la aplicación ni la conexión del cliente. Amazon DocumentDB se encarga del cifrado y descifrado de sus datos de forma transparente con un impacto mínimo en el desempeño.
Amazon DocumentDB se integra con un método conocido como cifrado de sobres AWS KMS y lo utiliza para proteger sus datos. Cuando un clúster de Amazon DocumentDB se cifra con un AWS KMS, Amazon DocumentDB AWS KMS le pide que utilice KMS su clave para generar una clave de datos de texto cifrado para cifrar el volumen de almacenamiento. La clave de datos de texto cifrado se cifra con la KMS clave que usted defina y se almacena junto con los datos cifrados y los metadatos de almacenamiento. Cuando Amazon DocumentDB necesita acceder a sus datos cifrados, solicita AWS KMS descifrar la clave de datos de texto cifrado con su KMS clave y guarda en caché la clave de datos de texto sin formato en la memoria para cifrar y descifrar eficazmente los datos del volumen de almacenamiento.
La función de cifrado de almacenamiento de Amazon DocumentDB está disponible para todos los tamaños de instancia compatibles y en todos los Regiones de AWS lugares en los que Amazon DocumentDB esté disponible.
Habilitar el cifrado en reposo para un clúster de Amazon DocumentDB
Puede habilitar o deshabilitar el cifrado en reposo en un clúster de Amazon DocumentDB cuando el clúster se aprovisione mediante AWS Management Console o (). AWS Command Line Interface AWS CLI Los clústeres creados con la consola tienen el cifrado en reposo habilitado de forma predeterminada. Los clústeres que cree con el cifrado en reposo AWS CLI tienen el cifrado en reposo desactivado de forma predeterminada. Por lo tanto, debe habilitar explícitamente el cifrado en reposo mediante el --storage-encrypted parámetro. En cualquier caso, una vez creado el clúster, no puede cambiar la opción de cifrado en reposo.
Amazon DocumentDB se utiliza AWS KMS para recuperar y administrar las claves de cifrado y para definir las políticas que controlan el uso de estas claves. Si no especifica un identificador AWS KMS clave, Amazon DocumentDB utiliza la clave de servicio AWS KMS gestionado predeterminada. Amazon DocumentDB crea una KMS clave independiente para cada uno Región de AWS de sus. Cuenta de AWS Para obtener más información, consulte Conceptos de AWS Key Management Service.
Para empezar a crear su propia KMS clave, consulte Introducción en la Guía para AWS Key Management Service desarrolladores.
importante
Debe utilizar una KMS clave de cifrado simétrica para cifrar el clúster, ya que Amazon DocumentDB solo admite claves de cifrado simétricas. KMS No utilice una KMS clave asimétrica para intentar cifrar los datos de los clústeres de Amazon DocumentDB. Para obtener más información, consulte claves asimétricas de AWS KMS en la Guía para desarrolladores de AWS Key Management Service .
Si Amazon DocumentDB ya no puede obtener acceso a la clave de cifrado de un clúster, por ejemplo, cuando se revoca el acceso a una clave, el clúster cifrado entra en un estado terminal. En este caso, solo puede restaurar el clúster desde una copia de seguridad. Para Amazon DocumentDB, las copias de seguridad siempre están habilitadas durante 1 día.
Además, si deshabilita la clave de un clúster cifrado de Amazon DocumentDB, eventualmente perderá el acceso de lectura y escritura a ese clúster. Cuando Amazon DocumentDB encuentra una instancia que está cifrada con una clave a la que no tiene acceso, pone el clúster en un estado terminal. En dicho estado, el clúster ya no está disponible y no es posible recuperar su estado actual. Para restaurar el clúster, debe volver a activar el acceso a la clave de cifrado para Amazon DocumentDB y después restaurar el clúster a partir de una copia de seguridad.
importante
No puede cambiar la KMS clave de un clúster cifrado después de haberlo creado. Asegúrese de determinar los requisitos de clave de cifrado antes de crear el clúster cifrado.
Limitaciones de los clústeres cifrados de Amazon DocumentDB
Los clústeres cifrados de Amazon DocumentDB tienen las siguientes limitaciones:
-
Solo puede habilitar o deshabilitar el cifrado en reposo para un clúster de Amazon DocumentDB en el momento en que se crea, no después de que el clúster se haya creado. Sin embargo, puede crear una copia cifrada de un clúster sin cifrar creando una instantánea del clúster sin cifrar y, a continuación, restaurando la instantánea sin cifrar como nuevo clúster mientras especifica la opción de cifrado en reposo.
Para obtener más información, consulte los temas siguientes:
-
Los clústeres de Amazon DocumentDB con el cifrado de almacenamiento habilitado no se pueden modificar para deshabilitar el cifrado.
-
Todas las instancias, copias de seguridad automatizadas, instantáneas e índices de un clúster de Amazon DocumentDB se cifran con la misma clave. KMS
