Cifrado de los recursos de Neptune en reposo - Amazon Neptune
Habilitación del cifradoPermisos de clavesLimitaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de los recursos de Neptune en reposo

Las instancias cifradas de Neptune ofrecen una capa adicional de protección de datos al ayudarle a proteger los datos del acceso no autorizado al almacenamiento subyacente. Puede utilizar el cifrado de Neptune para aumentar la protección de datos de las aplicaciones implementadas en la nube. También puede usarlo para cumplir con los requisitos de conformidad en materia de cifrado. data-at-rest

Para administrar las claves utilizadas para cifrar y descifrar los recursos de Neptune, utilice ().AWS Key Management ServiceAWS KMS AWS KMS combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Con AWS KMSél, puede crear claves de cifrado y definir las políticas que controlan cómo se pueden utilizar estas claves. AWS KMS es compatible AWS CloudTrail, por lo que puede auditar el uso de las claves para comprobar que las claves se utilizan de forma adecuada. Puede utilizar AWS KMS las llaves en combinación con Neptune y AWS servicios compatibles, como Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS) y Amazon Redshift. Para obtener una lista de los servicios compatibles AWS KMS, consulte Cómo se usan AWS los servicios AWS KMS en la AWS Key Management Service Guía para desarrolladores.

Todos los registros, copias de seguridad e instantáneas de una instancia cifrada de Neptune están cifrados.

Habilitación del cifrado para una instancia de base de datos de Neptune

Para habilitar el cifrado en una instancia de base de datos de Neptune nueva, elija en la sección Habilitar el cifrado de la consola de Neptune. Para obtener información acerca de la creación de una instancia de base de datos de Neptune, consulte Creación de un nuevo clúster de base de datos de Neptune.

Al crear una instancia de base de datos de Neptune cifrada, también puede proporcionar el identificador de AWS KMS clave para su clave de cifrado. Si no especifica un identificador de AWS KMS clave, Neptune utiliza la clave de cifrado de Amazon RDS predeterminada (aws/rds) para la nueva instancia de base de datos Neptune. AWS KMS crea la clave de cifrado predeterminada de Neptune para su AWS cuenta. Su AWS cuenta tiene una clave de cifrado predeterminada diferente para cada AWS región.

Después de crear una instancia de base de datos de Neptune cifrada, no puede cambiar la clave de cifrado de dicha instancia. Por tanto, asegúrese de determinar los requisitos de clave de cifrado antes de crear la instancia de base de datos de Neptune cifrada.

Puede utilizar el Nombre de recurso de Amazon (ARN) de una clave de otra cuenta para cifrar una instancia de base de datos de Neptune. Si crea una instancia de base de datos Neptune con la misma AWS cuenta propietaria de la clave de AWS KMS cifrado que se utiliza para cifrar esa nueva instancia de base de datos Neptune, el ID de AWS KMS clave que pase puede ser el alias de la clave en lugar del AWS KMS ARN de la clave.

importante

Si Neptune pierde el acceso a la clave de cifrado de una instancia de base de datos de Neptune (por ejemplo, cuando se revoca el acceso de Neptune a una clave), la instancia de base de datos cifrada se coloca en un estado de terminal y solo se puede restaurar desde una copia de seguridad. Recomendamos que siempre habilite las copias de seguridad para las instancias de bases de datos cifradas de Neptune con el fin de protegerse contra la pérdida de los datos cifrados de dichas bases de datos.

Se necesitan permisos de claves para habilitar el cifrado

El rol o usuario de IAM que crea una instancia de base de datos de Neptune cifrada debe tener al menos los siguientes permisos para la clave KMS:

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:GenerateDataKey"

  • "kms:ReEncryptTo"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:CreateGrant"

  • "kms:ReEncryptFrom"

  • "kms:DescribeKey"

A continuación, se muestra un ejemplo de una política de claves que incluye los permisos necesarios:

{
  "Version": "2012-10-17",
  "Id": "key-consolepolicy-3",
  "Statement": [
    {
      "Sid": "Enable Permissions for root principal",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key for Neptune",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptTo",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:CreateGrant",
        "kms:ReEncryptFrom",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Deny use of the key for non Neptune",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

  • La primera instrucción de esta política es opcional. Da acceso a la entidad principal raíz del usuario.

  • La segunda declaración proporciona acceso a todas las AWS KMS API necesarias para esta función, que dependen del director de servicio de RDS.

  • La tercera afirmación refuerza aún más la seguridad al exigir que este rol no pueda utilizar esta clave para ningún otro servicio. AWS

También puede reducir aún más los permisos de createGrant añadiendo:

"Condition": {
  "Bool": {
    "kms:GrantIsForAWSResource": true
  }
}

Limitaciones del cifrado de Neptune

Existen las siguientes limitaciones para cifrar clústeres de Neptune:

  • No puede convertir un clúster de bases de datos sin cifrar en uno cifrado.

    Sin embargo, sí es posible restaurar una instantánea de clúster de base de datos de sin cifrar en un clúster de base de datos de cifrado. Para hacer esto, especifique una clave de cifrado KMS cuando restaure a partir de una instantánea de clúster de base de datos sin cifrar.

  • No puede convertir una instancia de bases de datos sin cifrar en una cifrada. Solo puede habilitar el cifrado para una instancia de base de datos al crearla.

  • Además, las instancias de bases de datos que están cifradas no se pueden modificar para deshabilitar el cifrado.

  • No se puede tener una réplica de lectura cifrada de una instancia de base de datos sin cifrar ni una réplica de lectura sin cifrar de una instancia de base de datos cifrada.

  • Las réplicas de lectura cifradas deben cifrarse con la misma clave que la instancia de base de datos de origen.