Mengaktifkan enkripsi saat istirahat Batasan untuk cluster terenkripsi

Mengenkripsi data Amazon DocumentDB saat istirahat

catatan

AWS KMS mengganti istilah customer master key (CMK) dengan AWS KMS keydan KMSkey. Konsepnya tidak berubah. Untuk mencegah perubahan yang melanggar, AWS KMS adalah menjaga beberapa variasi dari istilah ini.

Anda mengenkripsi data at rest di klaster Amazon DocumentDB dengan menentukan opsi enkripsi penyimpanan saat Anda membuat klaster. Enkripsi penyimpanan diaktifkan di seluruh klaster dan diterapkan ke semua instans, termasuk instans primer dan replika apa pun. Hal ini juga diterapkan pada volume penyimpanan, data, indeks, log, backup otomatis, dan snapshot klaster Anda.

Amazon DocumentDB menggunakan Standar Enkripsi Lanjutan 256-bit AES (-256) untuk mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan di (). AWS Key Management Service AWS KMS Saat menggunakan klaster Amazon DocumentDB dengan enkripsi saat istirahat diaktifkan, Anda tidak perlu mengubah logika aplikasi atau koneksi klien Anda. Amazon DocumentDB menangani enkripsi dan dekripsi data Anda secara transparan, dengan dampak minimal terhadap performa.

Amazon DocumentDB terintegrasi AWS KMS dengan dan menggunakan metode yang dikenal sebagai enkripsi amplop untuk melindungi data Anda. Ketika cluster Amazon DocumentDB dienkripsi dengan, AWS KMS Amazon DocumentDB AWS KMS meminta untuk menggunakan kunci KMS Anda untuk menghasilkan kunci data ciphertext untuk mengenkripsi volume penyimpanan. Kunci data ciphertext dienkripsi menggunakan KMS kunci yang Anda tentukan, dan disimpan bersama dengan data terenkripsi dan metadata penyimpanan. Saat Amazon DocumentDB perlu mengakses data terenkripsi Anda, Amazon DocumentDB AWS KMS meminta untuk mendekripsi kunci data ciphertext menggunakan kunci KMS Anda dan menyimpan kunci data teks biasa di memori untuk mengenkripsi dan mendekripsi data secara efisien dalam volume penyimpanan.

Fasilitas enkripsi penyimpanan di Amazon DocumentDB tersedia untuk semua ukuran instans yang didukung dan di semua tempat Wilayah AWS Amazon DocumentDB tersedia.

Mengaktifkan enkripsi saat istirahat untuk cluster Amazon DocumentDB

Anda dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat di klaster Amazon DocumentDB saat klaster disediakan menggunakan atau AWS Management Console (). AWS Command Line Interface AWS CLI Klaster yang Anda buat menggunakan konsol memiliki enkripsi saat istirahat yang diaktifkan secara default. Cluster yang Anda buat menggunakan enkripsi AWS CLI have at rest dinonaktifkan secara default. Oleh karena itu, Anda harus secara eksplisit mengaktifkan enkripsi saat istirahat menggunakan parameter --storage-encrypted. Dalam kedua kasus tersebut, setelah klaster dibuat, Anda tidak dapat mengubah opsi enkripsi saat istirahat.

Amazon DocumentDB AWS KMS menggunakan untuk mengambil dan mengelola kunci enkripsi, dan untuk menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. Jika Anda tidak menentukan pengenal AWS KMS kunci, Amazon DocumentDB menggunakan kunci layanan terkelola default AWS . KMS Amazon DocumentDB membuat kunci KMS terpisah untuk Wilayah AWS masing-masing di Anda. Akun AWS Untuk informasi selengkapnya, lihatAWS Key Management Service Konsep.

Untuk memulai membuat KMS kunci Anda sendiri, lihat Memulai di Panduan AWS Key Management Service Pengembang.

penting

Anda harus menggunakan KMS kunci enkripsi simetris untuk mengenkripsi klaster Anda karena Amazon DocumentDB hanya mendukung kunci enkripsi simetris. KMS Jangan gunakan KMS kunci asimetris untuk mencoba mengenkripsi data di cluster Amazon DocumentDB Anda. Untuk informasi selengkapnya, lihat Kunci asimetris AWS KMS di Panduan AWS Key Management Service Pengembang.

Jika Amazon DocumentDB tidak bisa lagi mendapatkan akses ke kunci enkripsi untuk sebuah klaster — misalnya, saat akses ke kunci dicabut — klaster terenkripsi masuk ke status terminal. Dalam hal ini, Anda hanya dapat memulihkan klaster dari backup. Untuk Amazon DocumentDB, backup selalu diaktifkan selama 1 hari.

Selain itu, jika Anda menonaktifkan kunci untuk cluster Amazon DocumentDB terenkripsi, Anda pada akhirnya akan kehilangan akses baca dan tulis ke cluster itu. Ketika Amazon DocumentDB menemukan klaster yang dienkripsi dengan kunci yang tidak dapat diaksesnya, klaster akan dimasukkan ke status terminal. Dalam kondisi ini, klaster DB tidak lagi tersedia, dan status basis data saat ini tidak dapat dipulihkan. Untuk memulihkan klaster, Anda harus mengaktifkan kembali akses ke kunci enkripsi untuk Amazon DocumentDB, lalu memulihkan klaster dari backup.

penting

Anda tidak dapat mengubah KMS kunci untuk kluster terenkripsi setelah Anda membuatnya. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.

Using the AWS Management Console

Anda menentukan opsi enkripsi saat istirahat saat membuat klaster. Enkripsi saat istirahat diaktifkan secara default saat Anda membuat klaster menggunakan AWS Management Console. Itu tidak dapat diubah setelah klaster dibuat.

Untuk menentukan opsi enkripsi saat istirahat saat membuat klaster Anda

Buat klaster Amazon DocumentDB seperti yang dijelaskan di bagian Memulai. Namun, pada langkah 6, jangan pilih Buat klaster.
Di bawah bagian Autentikasi, pilih Tampilkan pengaturan lanjutan.
Gulir ke bawah ke ncryption-at-rest bagian E.
Pilih opsi yang Anda inginkan untuk enkripsi saat istirahat. Opsi mana pun yang Anda pilih, Anda tidak dapat mengubahnya setelah klaster dibuat.
- Untuk mengenkripsi data at rest di klaster ini, pilih Aktifkan enkripsi.
- Jika Anda tidak ingin mengenkripsi data at rest di klaster ini, pilih Nonaktifkan enkripsi.
Pilih kunci utama yang Anda inginkan. Amazon DocumentDB menggunakan AWS Key Management Service AWS KMS() untuk mengambil dan mengelola kunci enkripsi, dan untuk menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. Jika Anda tidak menentukan pengenal AWS KMS kunci, Amazon DocumentDB menggunakan kunci layanan terkelola default AWS . KMS Untuk informasi selengkapnya, lihatAWS Key Management Service Konsep.

catatan
Setelah Anda membuat cluster terenkripsi, Anda tidak dapat mengubah KMS kunci untuk cluster itu. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.
Lengkapi bagian lain yang diperlukan, dan buat klaster Anda.

Using the AWS CLI

Untuk mengenkripsi cluster Amazon DocumentDB AWS CLI menggunakan, Anda harus --storage-encrypted menentukan opsi saat membuat cluster. Cluster Amazon DocumentDB dibuat menggunakan AWS CLI enkripsi jangan aktifkan penyimpanan secara default.

Contoh berikut membuat klaster Amazon DocumentDB dengan enkripsi penyimpanan yang diaktifkan.

Untuk Linux, macOS, atau Unix:


aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted

Untuk Windows:


aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted

Saat membuat kluster Amazon DocumentDB terenkripsi, Anda dapat menentukan pengenal kunci, seperti pada AWS KMS contoh berikut.

Untuk Linux, macOS, atau Unix:


aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted \
      --kms-key-id key-arn-or-alias

Untuk Windows:


aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted ^
      --kms-key-id key-arn-or-alias

catatan

Setelah Anda membuat cluster terenkripsi, Anda tidak dapat mengubah KMS kunci untuk cluster itu. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.

Batasan untuk cluster terenkripsi Amazon DocumentDB

Keterbatasan berikut ada untuk klaster terenkripsi Amazon DocumentDB.

Anda dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat untuk klaster Amazon DocumentDB hanya pada saat klaster dibuat, bukan setelah klaster telah dibuat. Namun, Anda dapat membuat salinan terenkripsi dari klaster yang tidak terenkripsi dengan membuat snapshot dari klaster yang tidak terenkripsi, lalu memulihkan snapshot yang tidak terenkripsi sebagai klaster baru sambil menentukan opsi enkripsi saat istirahat.

Untuk informasi selengkapnya, lihat topik berikut.
Klaster Amazon DocumentDB dengan enkripsi penyimpanan yang diaktifkan tidak dapat dimodifikasi untuk menonaktifkan enkripsi.
Semua instance, backup otomatis, snapshot, dan indeks dalam cluster Amazon DocumentDB dienkripsi dengan kunci yang sama. KMS

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Enkripsi di sisi klien

Mengenkripsi data dalam perjalanan