Menggunakan Customer Managed Keys dari AWS KMS Lihat Juga

Enkripsi At-Rest di MemoryDB

Untuk membantu menjaga keamanan data Anda, MemoryDB dan Amazon S3 menyediakan berbagai cara untuk membatasi akses ke data di cluster Anda. Untuk informasi selengkapnya, lihat MemoryDB dan Amazon VPC dan Manajemen identitas dan akses di MemoryDB.

Enkripsi saat istirahat MemoryDB selalu diaktifkan untuk meningkatkan keamanan data dengan mengenkripsi data persisten. Ini mengenkripsi aspek-aspek berikut:

Data dalam log transaksi
Disk selama operasi sinkronisasi, snapshot, dan swap
Snapshot disimpan di Amazon S3

MemoryDB menawarkan enkripsi default (dikelola layanan) saat istirahat, serta kemampuan untuk menggunakan kunci root pelanggan yang dikelola pelanggan simetris Anda sendiri di AWS Key Management Service (KMS).

Data yang disimpan di SSD (solid-state drive) dalam cluster yang diaktifkan tingkat data selalu dienkripsi secara default.

Untuk informasi tentang enkripsi in-transit, lihat Enkripsi dalam transit (TLS) di MemoryDB

Topik

Menggunakan Customer Managed Keys dari AWS KMS
Lihat Juga

Menggunakan Customer Managed Keys dari AWS KMS

MemoryDB mendukung kunci root terkelola pelanggan simetris (kunci KMS) untuk enkripsi saat istirahat. Kunci KMS yang dikelola pelanggan adalah kunci enkripsi yang Anda buat, miliki, dan kelola di akun Anda. AWS Untuk informasi selengkapnya, lihat Kunci Root Pelanggan di Panduan Pengembang Layanan Manajemen AWS Kunci. Kunci harus dibuat di AWS KMS sebelum dapat digunakan dengan MemoryDB.

Untuk mempelajari cara membuat kunci root AWS KMS, lihat Membuat Kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.

MemoryDB memungkinkan Anda untuk berintegrasi dengan AWS KMS. Untuk informasi selengkapnya, lihat Menggunakan Grant dalam Panduan Developer AWS Key Management Service. Tidak diperlukan tindakan pelanggan untuk mengaktifkan integrasi MemoryDB dengan AWS KMS.

Kunci kms:ViaService kondisi membatasi penggunaan kunci AWS KMS untuk permintaan dari AWS layanan tertentu. Untuk digunakan kms:ViaService dengan MemoryDB, sertakan kedua ViaService nama dalam nilai kunci kondisi:. memorydb.amazon_region.amazonaws.com Untuk informasi lebih lanjut, lihat kms: ViaService.

Anda dapat menggunakan AWS CloudTrailuntuk melacak permintaan yang dikirimkan MemoryDB AWS Key Management Service atas nama Anda. Semua panggilan API yang AWS Key Management Service terkait dengan kunci yang dikelola pelanggan memiliki CloudTrail log yang sesuai. Anda juga dapat melihat hibah yang dibuat oleh MemoryDB dengan memanggil panggilan API ListGrantsKMS.

Setelah cluster dienkripsi menggunakan kunci yang dikelola pelanggan, semua snapshot untuk cluster dienkripsi sebagai berikut:

Snapshot harian otomatis dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan cluster.
Snapshot akhir yang dibuat saat cluster dihapus, juga dienkripsi menggunakan kunci terkelola pelanggan yang terkait dengan cluster.
Snapshot yang dibuat secara manual dienkripsi secara default untuk menggunakan kunci KMS yang terkait dengan cluster. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.
Menyalin snapshot secara default menggunakan kunci terkelola pelanggan yang terkait dengan snapshot sumber. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.

catatan

Kunci terkelola pelanggan tidak dapat digunakan saat mengekspor snapshot ke bucket Amazon S3 yang Anda pilih. Namun, semua snapshot yang diekspor ke Amazon S3 dienkripsi menggunakan enkripsi sisi Server. Anda dapat memilih untuk menyalin file snapshot ke objek S3 baru dan mengenkripsi menggunakan kunci KMS yang dikelola pelanggan, menyalin file ke bucket S3 lain yang diatur dengan enkripsi default menggunakan kunci KMS atau mengubah opsi enkripsi dalam file itu sendiri.
Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi snapshot yang dibuat secara manual yang tidak menggunakan kunci yang dikelola pelanggan untuk enkripsi. Dengan opsi ini, file snapshot yang disimpan di Amazon S3 dienkripsi menggunakan kunci KMS, meskipun data tidak dienkripsi pada cluster asli.

Memulihkan dari snapshot memungkinkan Anda memilih dari opsi enkripsi yang tersedia, mirip dengan pilihan enkripsi yang tersedia saat membuat cluster baru.

Jika Anda menghapus kunci atau menonaktifkan kunci dan mencabut hibah untuk kunci yang Anda gunakan untuk mengenkripsi klaster, cluster menjadi tidak dapat dipulihkan. Dengan kata lain, itu tidak dapat dimodifikasi atau dipulihkan setelah kegagalan perangkat keras. AWS KMS menghapus kunci root hanya setelah masa tunggu setidaknya tujuh hari. Setelah kunci dihapus, Anda dapat menggunakan kunci yang dikelola pelanggan yang berbeda untuk membuat snapshot untuk tujuan arsip.
Rotasi kunci otomatis mempertahankan properti kunci root AWS KMS Anda, sehingga rotasi tidak berpengaruh pada kemampuan Anda untuk mengakses data MemoryDB Anda. Cluster MemoryDB terenkripsi tidak mendukung rotasi kunci manual, yang melibatkan pembuatan kunci root baru dan memperbarui referensi apa pun ke kunci lama. Untuk mempelajari selengkapnya, lihat Memutar Kunci Root Pelanggan di Panduan Pengembang Layanan Manajemen AWS Kunci.
Mengenkripsi cluster MemoryDB menggunakan kunci KMS memerlukan satu hibah per cluster. Hibah ini digunakan sepanjang umur cluster. Selain itu, satu hibah per snapshot digunakan selama pembuatan snapshot. Hibah ini dihentikan setelah snapshot dibuat.
Untuk informasi selengkapnya tentang AWS hibah dan batasan KMS, lihat Kuota di Panduan Pengembang Layanan Manajemen AWS Utama.

Lihat Juga

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Keamanan data di MemoryDB

Enkripsi bergerak (TLS)