Gestione di AWS KMS key - Amazon Relational Database Service
Autorizzazione dell'uso di una chiave gestita dal clienteContesto di crittografia di Amazon RDS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione di AWS KMS key

Amazon RDS si integra automaticamente con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Amazon RDS utilizza la crittografia a busta. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service.

È possibile utilizzare due tipi di chiavi AWS KMS per crittografare le istanze database .

  • Per avere il pieno controllo su una chiave KMS, devi creare una chiave gestita dal cliente. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.

  • Le Chiavi gestite da AWS sono chiavi KMS nel tuo account create, gestite e utilizzate a tuo nome da un servizio AWS che si integra con AWS KMS. Per impostazione predefinita, la Chiave gestita da AWS RDS (aws/rds) viene utilizzata per la crittografia. Non è possibile gestire, ruotare o eliminare la Chiave gestita da AWS RDS. Per ulteriori informazioni su Chiavi gestite da AWS, consulta Chiavi gestite da AWS in AWS Key Management Service Guida per gli sviluppatori.

Per gestire le chiavi KMS utilizzate per le istanze database crittografate di Amazon RDS , utilizza AWS Key Management Service (AWS KMS) nella console AWS KMS, la AWS CLI o l’API AWS KMS. Puoi visualizzare i log di controllo di ogni operazione eseguita con una chiave gestita da AWS o dal cliente utilizzando AWS CloudTrail. Per ulteriori informazioni sulla rotazione delle chiavi, consulta Rotazione delle chiavi AWS KMS.

Autorizzazione dell'uso di una chiave gestita dal cliente

Quando RDS utilizza una chiave gestita dal cliente in operazioni che coinvolgono la crittografia, funziona per conto dell’utente che crea o modifica la risorsa RDS .

Per creare una risorsa RDS utilizzando una chiave gestita dal cliente, un utente deve disporre delle autorizzazioni per chiamare le seguenti operazioni su tale chiave:

  • kms:CreateGrant

  • kms:DescribeKey

Puoi specificare queste autorizzazioni necessarie in una policy chiave o in una policy IAM se la policy chiave lo consente.

Importante

Quando si utilizzano istruzioni di rifiuto esplicite per tutte le risorse (*) nelle policy della chiave AWS KMS con servizi gestiti come Amazon RDS, è necessario specificare una condizione per consentire l’account proprietario della risorsa. L’operazione potrebbe non riuscire senza questa condizione, anche se la regola di rifiuto include eccezioni per l’utente IAM.

Suggerimento

Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza, in alternativa, la chiave di condizione kms:ViaService per consentire all’utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell’utente da un servizio AWS.

Esistono diversi modi per rendere la policy IAM più efficace. Ad esempio, se desideri consentire l’utilizzo della chiave gestita dal cliente solo per le richieste che provengono da RDS , utilizza la chiave di condizione kms:ViaService con il valore rds.<region>.amazonaws.com. Puoi inoltre usare le chiavi o i valori nel Contesto di crittografia di Amazon RDS come condizione per utilizzare la chiave gestita dal cliente per la crittografia.

Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS nella Guida per gli sviluppatori di AWS Key Management Service e Policy delle chiavi in AWS KMS.

Contesto di crittografia di Amazon RDS

Quando RDS utilizza la chiave KMS o quando Amazon EBS utilizza la chiave KMS per conto di RDS , il servizio specifica un contesto di crittografia. Il contesto di crittografia rappresenta dati autenticati supplementari (AAD) utilizzati da AWS KMS per garantire l'integrità dei dati. Quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio deve specificare lo stesso contesto di crittografia per l'operazione di decrittografia. In caso contrario, la decrittografia ha esito negativo. Il contesto di crittografia viene scritto nei log AWS CloudTrail per aiutarti a comprendere perché è stata utilizzata una determinata chiave KMS. I log CloudTrail potrebbero contenere molte voci che descrivono l'utilizzo di una chiave KMS, ma il contesto di crittografia in ciascuna voce di log può aiutarti a determinare il motivo per quel particolare uso.

Come minimo, Amazon RDS utilizza sempre l’ID dell’istanza database per il contesto di crittografia, come nel seguente esempio in formato JSON:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Questo contesto di crittografia consente di identificare l’istanza database per cui è stata utilizzata la chiave KMS.

Quando la chiave KMS viene utilizzata per un’istanza database specifica e un determinato volume Amazon EBS, sia l’ID dell’istanza database sia l’ID del volume Amazon EBS vengono utilizzati per il contesto di crittografia, come nel seguente esempio in formato JSON:

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}