Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi saat istirahat: Cara kerjanya di Amazon QLDB
QLDBenkripsi saat istirahat mengenkripsi data Anda menggunakan 256-bit Advanced Encryption Standard (-256). AES Ini membantu mengamankan data Anda dari akses tidak sah ke penyimpanan yang mendasarinya. Semua data yang disimpan dalam QLDB buku besar dienkripsi saat istirahat secara default. Enkripsi sisi server transparan, yang berarti bahwa perubahan pada aplikasi tidak diperlukan.
Enkripsi saat istirahat terintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengelola kunci enkripsi yang digunakan untuk melindungi QLDB buku besar Anda. Saat membuat buku besar baru atau memperbarui buku besar yang ada, Anda dapat memilih salah satu dari jenis AWS KMS kunci berikut:
-
Kunci milik AWS— Jenis enkripsi default. Kuncinya dimiliki oleh QLDB (tanpa biaya tambahan).
-
Kunci yang dikelola pelanggan — Kunci disimpan di dalam Anda Akun AWS dan dibuat, dimiliki, dan dikelola oleh Anda. Anda memiliki kendali penuh atas kunci (AWS KMS dikenakan biaya).
Topik
Kunci milik AWS
Kunci milik AWS tidak disimpan di Anda Akun AWS. Mereka adalah bagian dari kumpulan KMS kunci yang AWS memiliki dan mengelola untuk digunakan dalam beberapa Akun AWS. Layanan AWS dapat digunakan Kunci milik AWS untuk melindungi data Anda.
Anda tidak perlu membuat atau mengelola Kunci milik AWS. Namun, Anda tidak dapat melihat atau melacak Kunci milik AWS, atau mengaudit penggunaannya. Anda tidak dikenakan biaya bulanan atau biaya penggunaan untuk Kunci milik AWS, dan mereka tidak dihitung terhadap AWS KMS kuota untuk akun Anda.
Untuk informasi lebih lanjut, lihat Kunci milik AWS dalam Panduan Pengembang AWS Key Management Service .
Kunci yang dikelola pelanggan
Kunci yang dikelola pelanggan adalah KMS kunci Akun AWS yang Anda buat, miliki, dan kelola. Anda memiliki kendali penuh atas KMS kunci-kunci ini. QLDBhanya mendukung KMS kunci enkripsi simetris.
Gunakan kunci yang dikelola pelanggan untuk mendapatkan fitur berikut:
-
Menetapkan dan memelihara kebijakan, IAM kebijakan, dan hibah utama untuk mengontrol akses ke kunci
-
Mengaktifkan dan menonaktifkan kunci
-
Memutar bahan kriptografi untuk kuncinya
-
Membuat tag kunci dan alias
-
Menjadwalkan kunci untuk dihapus
-
Mengimpor materi kunci Anda sendiri atau menggunakan toko kunci khusus yang Anda miliki dan kelola
-
Menggunakan AWS CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang QLDB dikirimkan AWS KMS atas nama Anda
Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.
Kunci yang dikelola pelanggan dikenakan biaya
Saat Anda menentukan kunci yang dikelola pelanggan sebagai KMS kunci untuk buku besar, semua data buku besar di penyimpanan jurnal dan penyimpanan yang diindeks dilindungi dengan kunci yang dikelola pelanggan yang sama.
Kunci terkelola pelanggan yang tidak dapat diakses
Jika Anda menonaktifkan kunci yang dikelola pelanggan, menjadwalkan kunci untuk dihapus, atau mencabut hibah pada kunci, status enkripsi buku besar Anda menjadi. KMS_KEY_INACCESSIBLE
Dalam keadaan ini, buku besar terganggu dan tidak menerima permintaan baca atau tulis apa pun. Kunci yang tidak dapat diakses mencegah semua pengguna dan QLDB layanan mengenkripsi atau mendekripsi data — dan melakukan operasi baca dan tulis di buku besar. QLDBharus memiliki akses ke KMS kunci Anda untuk memastikan bahwa Anda dapat terus mengakses buku besar Anda dan untuk mencegah kehilangan data.
penting
Buku besar yang rusak secara otomatis kembali ke status aktif setelah Anda mengembalikan hibah pada kunci, atau setelah Anda mengaktifkan kembali kunci yang dinonaktifkan.
Namun, menghapus kunci yang dikelola pelanggan tidak dapat diubah. Setelah kunci dihapus, Anda tidak dapat lagi mengakses buku besar yang dilindungi dengan kunci itu, dan data menjadi tidak dapat dipulihkan secara permanen.
Untuk memeriksa status enkripsi buku besar, gunakan AWS Management Console atau DescribeLedgerAPIoperasi.
Bagaimana Amazon QLDB menggunakan hibah di AWS KMS
QLDBmembutuhkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda. Saat Anda membuat buku besar yang dilindungi dengan kunci yang dikelola pelanggan, QLDB buat hibah atas nama Anda dengan mengirimkan CreateGrantpermintaan ke. AWS KMS Hibah AWS KMS digunakan untuk memberikan QLDB akses ke KMS kunci dalam pelanggan Akun AWS. Untuk informasi selengkapnya, lihat Menggunakan Hibah di Panduan AWS Key Management Service Pengembang.
QLDBmemerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda untuk AWS KMS operasi berikut:
-
DescribeKey— Verifikasi bahwa KMS kunci enkripsi simetris yang ditentukan valid.
-
GenerateDataKey— Hasilkan kunci data simetris unik yang QLDB digunakan untuk mengenkripsi data saat istirahat di buku besar Anda.
-
Dekripsi — Dekripsi kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.
-
Enkripsi - Enkripsi plaintext ke dalam ciphertext menggunakan kunci yang dikelola pelanggan Anda.
Anda dapat mencabut hibah untuk menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, kunci menjadi tidak dapat diakses, dan QLDB kehilangan akses ke salah satu data buku besar yang dilindungi oleh kunci yang dikelola pelanggan. Dalam keadaan ini, buku besar terganggu dan tidak menerima permintaan baca atau tulis apa pun sampai Anda mengembalikan hibah pada kunci.
Memulihkan hibah di AWS KMS
Untuk memulihkan hibah pada kunci yang dikelola pelanggan dan memulihkan akses ke buku besar diQLDB, Anda dapat memperbarui buku besar dan menentukan kunci yang sama. KMS Untuk petunjuk, silakan lihat Memperbarui buku besar yang ada AWS KMS key.
Enkripsi saat istirahat pertimbangan
Pertimbangkan hal berikut saat Anda menggunakan enkripsi saat istirahat diQLDB:
-
Enkripsi sisi server saat istirahat diaktifkan secara default pada semua data QLDB buku besar dan tidak dapat dinonaktifkan. Anda tidak dapat mengenkripsi hanya sebagian data dalam buku besar.
-
Enkripsi saat diam hanya mengenkripsi data saat statis (saat diam) pada media penyimpanan persisten. Jika keamanan data menjadi perhatian untuk data dalam perjalanan atau data yang digunakan, Anda mungkin perlu mengambil langkah-langkah tambahan sebagai berikut:
-
Data dalam perjalanan: Semua data Anda QLDB dienkripsi saat transit. Secara default, komunikasi ke dan dari QLDB menggunakan HTTPS protokol, yang melindungi lalu lintas jaringan dengan menggunakan enkripsi Secure Sockets Layer (SSL) /Transport Layer Security (TLS).
-
Data yang digunakan: Lindungi data Anda sebelum mengirimnya QLDB dengan menggunakan enkripsi sisi klien.
-
Untuk mempelajari cara menerapkan kunci yang dikelola pelanggan untuk buku besar, lanjutkan keMenggunakan kunci yang dikelola pelanggan di Amazon QLDB.