Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Para ayudarle a mantener los datos protegidos, MemoryDB y Amazon S3 cuentan con diferentes formas que permiten restringir el acceso a los datos de sus clústeres. Para obtener más información, consulte MemoryDB y Amazon VPC y Administración de identidades y accesos en MemoryDB.
El cifrado en reposo de MemoryDB siempre está activado para aumentar la seguridad de la información al cifrar los datos persistentes. Encripta los siguientes aspectos:
-
Datos del registro de transacciones
-
Disco durante las operaciones de sincronización, instantáneas o intercambio
-
Instantáneas almacenadas en Amazon S3
MemoryDB ofrece cifrado en reposo predeterminado (servicio administrado), así como capacidad para usar sus propias claves maestras simétricas del cliente administradas por el cliente en AWS Key Management Service (KMS).
Los datos almacenados en los SSD (unidades de estado sólido) en clústeres habilitados para la organización de datos en niveles siempre se cifran de forma predeterminada.
Para obtener más información sobre el cifrado en tránsito, consulte Cifrado en tránsito (TLS) de MemoryDB.
Uso de claves administradas por el cliente desde AWS KMS
MemoryDB admite las claves maestras simétricas administradas por el cliente (clave de KMS) para el cifrado en reposo. Las claves de KMS administradas por el cliente son claves de cifrado que crea, posee y administra en la cuenta de AWS. Para obtener más información, consulte Claves raíz del cliente en la Guía para desarrolladores de AWS Key Management Service. Las claves deben crearse en AWS KMS para poder utilizarlas con MemoryDB.
Para obtener más información sobre la creación de claves maestras de AWS KMS, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service.
MemoryDB permite la integración con AWS KMS. Para obtener más información, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service. No se requieren acciones del cliente para habilitar la integración de MemoryDB con AWS KMS.
La clave de condición kms:ViaService
limita el uso de una clave de AWS KMS a determinadas solicitudes de servicios de AWS. Para utilizar kms:ViaService
con MemoryDB, incluya ambos nombres de ViaService en el valor de clave de condición: memorydb.amazon_region.amazonaws.com
. Para obtener más información, consulte kms:ViaService.
Puede utilizar AWS CloudTrail para realizar un seguimiento de las solicitudes que MemoryDB envía a AWS Key Management Service en su nombre. Todas las llamadas a la API a AWS Key Management Service relacionadas con claves administradas por el cliente tienen los registros de CloudTrail correspondientes. También puede ver las concesiones que crea MemoryDB llamando a la API de KMS ListGrants.
Una vez que se cifra un clúster mediante la clave administrada por el cliente, todas las instantáneas para el clúster se cifran de la siguiente manera:
Las instantáneas diarias automáticas se cifran mediante la clave administrada por el cliente asociada con el clúster.
La instantánea final creada cuando se elimina el clúster también se cifra mediante la clave administrada por el cliente asociada con el clúster.
Las instantáneas creadas de forma manual se cifran de manera predeterminada para utilizar la clave de KMS asociada con el clúster. Puede anular esto al elegir otra clave administrada por el cliente.
Al copiar una instantánea se utiliza de forma predeterminada una clave administrada por el cliente asociada a la instantánea de origen. Puede anular esto al elegir otra clave administrada por el cliente.
nota
-
Las claves administradas por el cliente no se pueden utilizar cuando se exportan instantáneas al bucket de Amazon S3 seleccionado. Sin embargo, todas las instantáneas exportadas a Amazon S3 se cifran mediante el cifrado del lado del servidor. Puede optar por copiar el archivo de instantánea en un objeto de S3 nuevo y cifrarlo mediante una clave de KMS administrada por el cliente, copiar el archivo a otro bucket de S3 que se haya configurado con el cifrado predeterminado mediante una clave de KMS o cambiar una opción de cifrado en el propio archivo.
-
También puede utilizar claves administradas por el cliente a fin de cifrar instantáneas creadas de forma manual que no utilicen claves administradas por el cliente para el cifrado. Con esta opción, el archivo de instantánea almacenado en Amazon S3 se cifra mediante una clave de KMS, aunque los datos no se cifren en el clúster original.
La restauración desde una instantánea le permite elegir entre las opciones de cifrado disponibles, similares a las opciones de cifrado disponibles cuando se crea un nuevo clúster.
Si elimina la clave o deshabilita la clave y revoca las concesiones para la clave que utilizó para cifrar un clúster, el clúster se vuelve irrecuperable. En otras palabras, no se puede modificar ni recuperar después de un error de hardware. AWS KMS solo elimina las claves maestras después de un periodo de espera de al menos siete días. Después de eliminar la clave, puede utilizar una clave administrada por el cliente diferente para crear una instantánea con fines de archivo.
La rotación automática de claves conserva las propiedades de las claves maestras de AWS KMS, por lo que la rotación no tiene efecto sobre la capacidad de acceder a los datos de MemoryDB. Los clústeres de MemoryDB no admiten la rotación de claves manual, lo que implica la creación de una nueva clave maestra y la actualización de cualquier referencia a la antigua clave. Para obtener más información, consulte Rotación de claves del cliente en la Guía para desarrolladores de AWS Key Management Service.
El cifrado de un clúster de MemoryDB mediante la clave de KMS requiere una concesión por clúster. Esa concesión se utiliza a lo largo de la vida útil del clúster. Además, se utiliza una concesión por instantánea durante la creación de la instantánea. Dicha concesión se retira una vez que se crea la instantánea.
Para obtener más información sobre las cuotas y las concesiones de AWS KMS, consulte Cuotas en la Guía para desarrolladores de AWS Key Management Service.