Enkripsi saat istirahat: Cara kerjanya di Amazon QLDB - Amazon Quantum Ledger Database (Amazon QLDB)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi saat istirahat: Cara kerjanya di Amazon QLDB

Enkripsi QLDB saat istirahat mengenkripsi data Anda menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256). Ini membantu mengamankan data Anda dari akses tidak sah ke penyimpanan yang mendasarinya. Semua data yang disimpan dalam buku besar QLDB dienkripsi saat istirahat secara default. Enkripsi sisi server transparan, yang berarti bahwa perubahan pada aplikasi tidak diperlukan.

Enkripsi saat istirahat terintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengelola kunci enkripsi yang digunakan untuk melindungi buku besar QLDB Anda. Saat membuat buku besar baru atau memperbarui buku besar yang ada, Anda dapat memilih salah satu dari jenis AWS KMS kunci berikut:

  • Kunci milik AWS— Jenis enkripsi default. Kuncinya dimiliki oleh QLDB (tanpa biaya tambahan).

  • Kunci yang dikelola pelanggan — Kunci disimpan di dalam Anda Akun AWS dan dibuat, dimiliki, dan dikelola oleh Anda. Anda memiliki kendali penuh atas kunci (AWS KMS dikenakan biaya).

Kunci milik AWS

Kunci milik AWS tidak disimpan di Anda Akun AWS. Mereka adalah bagian dari kumpulan kunci KMS yang AWS memiliki dan mengelola untuk digunakan dalam beberapa. Akun AWS Layanan AWS dapat digunakan Kunci milik AWS untuk melindungi data Anda.

Anda tidak perlu membuat atau mengelola Kunci milik AWS. Namun, Anda tidak dapat melihat atau melacak Kunci milik AWS, atau mengaudit penggunaannya. Anda tidak dikenakan biaya bulanan atau biaya penggunaan untuk Kunci milik AWS, dan mereka tidak dihitung terhadap AWS KMS kuota untuk akun Anda.

Untuk informasi lebih lanjut, lihat Kunci milik AWS dalam Panduan Pengembang AWS Key Management Service .

Kunci yang dikelola pelanggan

Kunci yang dikelola pelanggan adalah kunci KMS Akun AWS yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini. QLDB hanya mendukung kunci KMS enkripsi simetris.

Gunakan kunci yang dikelola pelanggan untuk mendapatkan fitur berikut:

  • Menetapkan dan memelihara kebijakan utama, kebijakan IAM, dan hibah untuk mengontrol akses ke kunci

  • Mengaktifkan dan menonaktifkan kunci

  • Memutar bahan kriptografi untuk kuncinya

  • Membuat tag kunci dan alias

  • Menjadwalkan kunci untuk dihapus

  • Mengimpor materi kunci Anda sendiri atau menggunakan toko kunci khusus yang Anda miliki dan kelola

  • Menggunakan AWS CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang dikirim AWS KMS QLDB atas nama Anda

Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

Kunci yang dikelola pelanggan dikenakan biaya untuk setiap panggilan API, dan AWS KMS kuota berlaku untuk kunci KMS ini. Untuk informasi selengkapnya, lihat AWS KMS sumber daya atau permintaan kuota.

Saat Anda menentukan kunci yang dikelola pelanggan sebagai kunci KMS untuk buku besar, semua data buku besar di penyimpanan jurnal dan penyimpanan yang diindeks dilindungi dengan kunci yang dikelola pelanggan yang sama.

Kunci terkelola pelanggan yang tidak dapat diakses

Jika Anda menonaktifkan kunci terkelola pelanggan, menjadwalkan kunci untuk dihapus, atau mencabut hibah pada kunci, status enkripsi buku besar Anda menjadi. KMS_KEY_INACCESSIBLE Dalam keadaan ini, buku besar terganggu dan tidak menerima permintaan baca atau tulis apa pun. Kunci yang tidak dapat diakses mencegah semua pengguna dan layanan QLDB mengenkripsi atau mendekripsi data — dan melakukan operasi baca dan tulis di buku besar. QLDB harus memiliki akses ke kunci KMS Anda untuk memastikan bahwa Anda dapat terus mengakses buku besar Anda dan untuk mencegah kehilangan data.

penting

Buku besar yang rusak secara otomatis kembali ke status aktif setelah Anda mengembalikan hibah pada kunci, atau setelah Anda mengaktifkan kembali kunci yang dinonaktifkan.

Namun, menghapus kunci yang dikelola pelanggan tidak dapat diubah. Setelah kunci dihapus, Anda tidak dapat lagi mengakses buku besar yang dilindungi dengan kunci itu, dan data menjadi tidak dapat dipulihkan secara permanen.

Untuk memeriksa status enkripsi buku besar, gunakan AWS Management Console atau operasi DescribeLedgerAPI.

Bagaimana Amazon QLDB menggunakan hibah di AWS KMS

QLDB membutuhkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda. Saat Anda membuat buku besar yang dilindungi dengan kunci yang dikelola pelanggan, QLDB membuat hibah atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS Hibah AWS KMS digunakan untuk memberikan akses QLDB ke kunci KMS pada pelanggan. Akun AWS Untuk informasi selengkapnya, lihat Menggunakan Hibah di Panduan AWS Key Management Service Pengembang.

QLDB mewajibkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda untuk operasi berikut: AWS KMS

  • DescribeKey— Verifikasi bahwa kunci KMS enkripsi simetris yang ditentukan valid.

  • GenerateDataKey— Hasilkan kunci data simetris unik yang digunakan QLDB untuk mengenkripsi data saat istirahat di buku besar Anda.

  • Dekripsi — Dekripsi kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.

  • Enkripsi - Enkripsi plaintext ke dalam ciphertext menggunakan kunci yang dikelola pelanggan Anda.

Anda dapat mencabut hibah untuk menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, kunci menjadi tidak dapat diakses, dan QLDB kehilangan akses ke salah satu data buku besar yang dilindungi oleh kunci yang dikelola pelanggan. Dalam keadaan ini, buku besar terganggu dan tidak menerima permintaan baca atau tulis apa pun sampai Anda mengembalikan hibah pada kunci.

Memulihkan hibah di AWS KMS

Untuk memulihkan hibah pada kunci yang dikelola pelanggan dan memulihkan akses ke buku besar di QLDB, Anda dapat memperbarui buku besar dan menentukan kunci KMS yang sama. Untuk petunjuk, lihat Memperbarui buku besar yang ada AWS KMS key.

Enkripsi saat istirahat pertimbangan

Pertimbangkan hal berikut saat Anda menggunakan enkripsi saat istirahat di QLDB:

  • Enkripsi sisi server saat istirahat diaktifkan secara default pada semua data buku besar QLDB dan tidak dapat dinonaktifkan. Anda tidak dapat mengenkripsi hanya sebagian data dalam buku besar.

  • Enkripsi saat diam hanya mengenkripsi data saat statis (saat diam) pada media penyimpanan persisten. Jika keamanan data menjadi perhatian untuk data dalam perjalanan atau data yang digunakan, Anda mungkin perlu mengambil langkah-langkah tambahan sebagai berikut:

    • Data dalam perjalanan: Semua data Anda di QLDB dienkripsi saat transit. Secara default, komunikasi ke dan dari QLDB menggunakan protokol HTTPS, yang melindungi lalu lintas jaringan dengan menggunakan enkripsi Secure Sockets Layer (SSL) /Transport Layer Security (TLS).

    • Data yang digunakan: Lindungi data Anda sebelum mengirimnya ke QLDB dengan menggunakan enkripsi sisi klien.

Untuk mempelajari cara menerapkan kunci yang dikelola pelanggan untuk buku besar, lanjutkan keMenggunakan kunci yang dikelola pelanggan di Amazon QLDB.