AWSkunci yang dimiliki Kunci yang dikelola pelanggan Catatan penggunaan

Enkripsi saat istirahat: Cara kerjanya di Amazon Keyspaces

Enkripsi Amazon Keyspaces (untuk Apache Cassandra) saat istirahat mengenkripsi data Anda menggunakan Advanced Encryption Standard 256-bit (AES-256). Ini membantu mengamankan data Anda dari akses yang tidak sah ke penyimpanan dasar. Semua data pelanggan dalam tabel Amazon Keyspaces dienkripsi saat istirahat secara default, dan enkripsi sisi server transparan, yang berarti bahwa perubahan pada aplikasi tidak diperlukan.

Enkripsi saat istirahat berintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengelola kunci enkripsi yang digunakan untuk mengenkripsi tabel Anda. Saat membuat tabel baru atau memperbarui tabel yang ada, Anda dapat memilih salah satu opsi AWS KMSkunci berikut:

Kunci milik AWS- Ini adalah jenis enkripsi default. Kuncinya dimiliki oleh Amazon Keyspaces (tanpa biaya tambahan).
Kunci yang dikelola pelanggan — Kunci ini disimpan di akun Anda serta dibuat, dimiliki, dan dikelola oleh Anda. Anda memiliki kontrol penuh atas kunci yang dikelola pelanggan (AWS KMSBiaya berlaku).

AWS KMSkunci (kunci KMS)

Enkripsi saat istirahat melindungi semua data Amazon Keyspaces Anda denganAWS KMS kunci. Secara default, Amazon Keyspaces menggunakan Kunci milik AWSkunci enkripsi multi-penyewa yang dibuat dan dikelola di akun layanan Amazon Keyspaces.

Namun, Anda dapat mengenkripsi tabel Amazon Keyspaces Anda menggunakan kunci yang dikelola pelanggan di AndaAkun AWS. Anda dapat memilih kunci KMS yang berbeda untuk setiap tabel di keyspace. Kunci KMS yang Anda pilih untuk tabel juga digunakan untuk mengenkripsi semua metadata dan cadangan yang dapat dipulihkan.

Anda memilih tombol KMS untuk tabel saat membuat atau memperbarui tabel. Anda dapat mengubah kunci KMS untuk tabel setiap saat, baik di konsol Amazon Keyspaces atau dengan menggunakan pernyataan ALTER TABLE. Proses pengalihan kunci KMS mulus, dan tidak memerlukan waktu henti atau menyebabkan degradasi layanan.

Hierarki kunci

Amazon Keyspaces menggunakan hierarki kunci untuk mengenkripsi data. Dalam hierarki kunci ini, kunci KMS adalah kunci root. Ini digunakan untuk mengenkripsi dan mendekripsi kunci enkripsi tabel Amazon Keyspaces. Kunci enkripsi tabel digunakan untuk mengenkripsi kunci enkripsi yang digunakan secara internal oleh Amazon Keyspaces untuk mengenkripsi dan mendekripsi data saat melakukan operasi baca dan tulis.

Dengan hierarki kunci enkripsi, Anda dapat membuat perubahan pada kunci KMS tanpa harus mengenkripsi ulang data atau memengaruhi aplikasi dan operasi data yang sedang berlangsung.

Hierarki kunci yang menunjukkan kunci root, kunci enkripsi tabel, dan kunci enkripsi data yang digunakan untuk enkripsi saat istirahat.

Kunci tabel

Kunci tabel Amazon Keyspaces digunakan sebagai kunci enkripsi kunci. Amazon Keyspaces menggunakan kunci tabel untuk melindungi kunci enkripsi data internal yang digunakan untuk mengenkripsi data yang disimpan dalam tabel, file log, dan pencadangan yang dapat dipulihkan. Amazon Keyspaces menghasilkan kunci enkripsi data yang unik untuk setiap struktur yang mendasari dalam tabel. Namun, beberapa baris tabel mungkin dilindungi oleh kunci enkripsi data yang sama.

Ketika Anda pertama kali mengatur kunci KMS ke kunci yang dikelola pelanggan,AWS KMS menghasilkan kunci data. KunciAWS KMS data mengacu pada kunci tabel di Amazon Keyspaces.

Ketika Anda mengakses tabel terenkripsi, Amazon Keyspaces mengirimkan permintaanAWS KMS ke untuk menggunakan kunci KMS untuk mendekripsi tombol tabel. Kemudian, ini menggunakan kunci tabel plaintext untuk mendekripsi kunci enkripsi data Amazon Keyspaces, dan ini menggunakan kunci enkripsi data plaintext untuk mendekripsi data tabel.

Amazon Keyspaces menggunakan dan menyimpan kunci tabel dan kunci enkripsi data di luarAWS KMS. Ini melindungi semua kunci dengan enkripsi Standar Enkripsi Lanjutan (AES) dan kunci enkripsi 256-bit. Kemudian, ini menyimpan kunci terenkripsi dengan data terenkripsi sehingga mereka tersedia untuk mendekripsi data tabel sesuai permintaan.

Caching kunci tabel

Untuk menghindari panggilanAWS KMS untuk setiap operasi Amazon Keyspaces, Amazon Keyspaces melakukan cache pada kunci tabel plaintext untuk setiap koneksi di memori. Jika Amazon Keyspaces mendapat permintaan untuk kunci tabel cache setelah lima menit tidak aktif, Amazon Keyspaces akan mengirimkan permintaan baruAWS KMS ke untuk mendekripsi kunci tabel. Panggilan ini menangkap setiap perubahan yang dibuat pada kebijakan akses kunci KMS diAWS KMS atauAWS Identity and Access Management (IAM) sejak permintaan terakhir untuk mendekripsi tombol tabel.

Enkripsi amplop

Jika Anda mengubah kunci yang dikelola pelanggan untuk tabel Anda, Amazon Keyspaces menghasilkan kunci tabel baru. Kemudian, ini menggunakan kunci tabel baru untuk melakukan enkripsi ulang kunci enkripsi data. Ini juga menggunakan tombol tabel baru untuk mengenkripsi kunci tabel sebelumnya yang digunakan untuk melindungi cadangan yang dapat dipulihkan. Proses ini disebut enkripsi amplop. Ini memastikan bahwa Anda dapat mengakses cadangan yang dapat dipulihkan bahkan jika Anda memutar kunci yang dikelola pelanggan. Untuk informasi lebih lanjut tentang enkripsi amplop, lihat Enkripsi selubung dalam PanduanAWS Key Management Service Developer.

Topik

AWSkunci yang dimiliki
Kunci yang dikelola pelanggan
Enkripsi saat istirahat catatan penggunaan

AWSkunci yang dimiliki

Kunci milik AWStidak disimpan dalam AndaAkun AWS. Mereka adalah bagian dari koleksi kunci KMS yangAWS memiliki dan mengelola untuk digunakan dalam beberapaAkun AWS. AWSLayanan dapat digunakanKunci milik AWS untuk melindungi data Anda.

Anda tidak dapat melihat, mengelola, atau menggunakanKunci milik AWS, atau audit penggunaannya. Namun, Anda tidak perlu melakukan pekerjaan atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda.

Anda tidak dikenakan biaya bulanan atau biaya penggunaan untuk penggunaanKunci milik AWS, dan mereka tidak memperhitungkanAWS KMS kuota untuk akun Anda.

Kunci yang dikelola pelanggan

Kunci yang dikelola pelanggan adalah kunci dalam AndaAkun AWS yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini.

Gunakan kunci yang dikelola pelanggan untuk mendapatkan fitur berikut:

Anda membuat dan mengelola kunci yang dikelola pelanggan, termasuk mengatur dan memelihara kebijakan utama, kebijakan IAM, dan hibah untuk mengontrol akses ke kunci yang dikelola pelanggan. Anda dapat mengaktifkan dan menonaktifkan kunci yang dikelola pelanggan, mengaktifkan dan menonaktifkan rotasi kunci otomatis, serta menjadwalkan kunci yang dikelola pelanggan untuk dihapus saat tidak lagi digunakan. Anda dapat membuat tag dan alias untuk kunci yang dikelola pelanggan yang Anda kelola.
Anda dapat menggunakan kunci yang dikelola pelanggan dengan materi kunci yang diimpor atau kunci yang dikelola pelanggan di penyimpanan kunci kustom yang Anda miliki dan kelola.
Anda dapat menggunakanAWS CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang Amazon Keyspaces kirimkan keAWS KMS atas nama Anda. Untuk informasi selengkapnya, lihat Langkah 6: Mengonfigurasi pemantauanAWS CloudTrail.

Kunci yang dikelola pelanggan dikenakan biaya untuk setiap panggilan API, danAWS KMS kuota berlaku untuk kunci KMS ini. Untuk informasi lebih lanjut, lihat AWS KMSsumber daya atau kuota permintaan.

Ketika Anda menentukan kunci yang dikelola pelanggan sebagai kunci enkripsi root untuk tabel, cadangan yang dapat dipulihkan dienkripsi dengan kunci enkripsi yang sama yang ditentukan untuk tabel pada saat cadangan dibuat. Jika kunci KMS untuk tabel diputar, pembungkus kunci memastikan bahwa kunci KMS terbaru memiliki akses ke semua cadangan yang dapat dipulihkan.

Amazon Keyspaces harus memiliki akses ke kunci yang dikelola pelanggan untuk memberi Anda akses ke data tabel Anda. Jika status kunci enkripsi disetel ke dinonaktifkan atau dijadwalkan untuk dihapus, Amazon Keyspaces tidak dapat mengenkripsi atau mendekripsi data. Akibatnya, Anda tidak dapat melakukan operasi baca dan tulis di atas meja. Segera setelah layanan mendeteksi bahwa kunci enkripsi Anda tidak dapat diakses, Amazon Keyspaces mengirimkan pemberitahuan email untuk mengingatkan Anda.

Anda harus memulihkan akses ke kunci enkripsi Anda dalam waktu tujuh hari atau Amazon Keyspaces menghapus tabel Anda secara otomatis. Sebagai tindakan pencegahan, Amazon Keyspaces membuat cadangan data tabel Anda yang dapat dipulihkan sebelum menghapus tabel. Amazon Keyspaces mempertahankan cadangan yang dapat dipulihkan selama 35 hari. Setelah 35 hari, Anda tidak dapat lagi memulihkan data tabel Anda. Anda tidak ditagih untuk cadangan yang dapat dipulihkan, tetapi biaya pemulihan standar berlaku.

Anda dapat menggunakan ini cadangan dipulihkan ini untuk memulihkan data Anda ke tabel baru. Untuk memulai pemulihan, kunci terakhir yang dikelola pelanggan Anda untuk tabel harus diaktifkan, dan Amazon Keyspaces harus dapat mengaksesnya.

catatan

Saat Anda membuat tabel yang dienkripsi menggunakan kunci terkelola pelanggan yang tidak dapat diakses atau dijadwalkan untuk dihapus sebelum proses pembuatan selesai, terjadi kesalahan. Operasi create table gagal, dan Anda dikirimi notifikasi email.

Enkripsi saat istirahat catatan penggunaan

Pertimbangkan hal berikut saat Anda menggunakan enkripsi saat istirahat di Amazon Keyspaces.

Enkripsi sisi server saat istirahat diaktifkan pada semua tabel Amazon Keyspaces dan tidak dapat dinonaktifkan. Seluruh tabel dienkripsi saat istirahat, Anda tidak dapat memilih kolom atau baris tertentu untuk enkripsi.
Secara default, Amazon Keyspaces menggunakan kunci default layanan tunggal (Kunci milik AWS) untuk mengenkripsi semua tabel Anda. Jika kunci ini tidak ada, itu dibuat untuk Anda. Kunci default layanan tidak dapat dinonaktifkan.
Enkripsi saat istirahat hanya mengenkripsi data saat statis (saat istirahat) pada media penyimpanan persisten. Jika keamanan data menjadi perhatian atas data saat transit atau data yang digunakan, Anda harus melakukan tindakan tambahan:
- Data saat transit: Semua data Anda di Amazon Keyspaces dienkripsi saat transit. Secara default, komunikasi ke dan dari Amazon Keyspaces dilindungi menggunakan enkripsi Secure Sockets Layer (SSL) /Transport Layer Security (TLS).
- Data yang digunakan: Lindungi data Anda sebelum mengirimkannya ke Amazon Keyspaces menggunakan enkripsi sisi klien.
- Kunci yang dikelola pelanggan: Data saat istirahat di tabel Anda selalu dienkripsi menggunakan kunci yang dikelola pelanggan Anda. Namun operasi yang melakukan pembaruan atom dari beberapa baris mengenkripsi data sementara menggunakanKunci milik AWS selama pemrosesan. Ini termasuk operasi dan operasi penghapusan jangkauan yang secara bersamaan mengakses data statis dan non-statis.
Satu kunci yang dikelola pelanggan dapat memiliki hingga 50.000 hibah. Setiap tabel Amazon Keyspaces yang terkait dengan kunci yang dikelola pelanggan menghabiskan 2 hibah. Satu hibah dilepaskan saat tabel dihapus. Hibah kedua digunakan untuk membuat snapshot otomatis tabel untuk melindungi dari kehilangan data jika Amazon Keyspaces kehilangan akses ke kunci yang dikelola pelanggan secara tidak sengaja. Hibah ini dirilis 42 hari setelah penghapusan tabel.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Enkripsi saat tidak aktif

Cara menggunakan kunci yang dikelola