Panoramica della crittografia delle risorse Amazon RDS Crittografia di un'istanza database Determinare se la crittografia è attivata per un'istanza database Disponibilità della crittografia Amazon RDS Crittografia in transito Limiti relativi a cluster di database crittografate Amazon RDS

Crittografia delle risorse Amazon RDS

Amazon RDS può crittografare le istanze database di Amazon RDS. I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le istanze database, i backup automatici, le repliche di lettura e gli snapshot.

I cluster di Amazon RDS crittografate utilizzano l'algoritmo di crittografia AES-256 standard del settore per crittografare i dati sul server che ospita i cluster di Amazon RDS. Una volta crittografati i dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia.

Nota

Per i dati in transito tra le repliche di origine e quelle di lettura vengono crittografati, anche durante la replica tra regioni. AWS

Argomenti

Panoramica della crittografia delle risorse Amazon RDS
Crittografia di un'istanza database
Determinare se la crittografia è attivata per un'istanza database
Disponibilità della crittografia Amazon RDS
Crittografia in transito
Limiti relativi a cluster di database crittografate Amazon RDS

Panoramica della crittografia delle risorse Amazon RDS

Le istanze database Amazon RDS crittografate offrono un livello aggiuntivo di sicurezza dei dati proteggendoli dagli accessi non autorizzati nello storage sottostante. Puoi utilizzare la crittografia Amazon RDS per aumentare la protezione dei dati delle applicazioni che vengono distribuite nel cloud e per soddisfare i requisiti di conformità per la crittografia dei dati inattivi.

Per un'istanza database crittografata con Amazon RDS, vengono crittografati tutti i log, i backup e gli snapshot. Amazon RDS utilizza una AWS Key Management Service chiave per crittografare queste risorse. Per ulteriori informazioni sulle chiavi KMS, consulta AWS KMS keys nella Guida per sviluppatori di AWS Key Management Service e AWS KMS key gestione. Se copi uno snapshot crittografata, puoi utilizzare una chiave KMS diversa per crittografare la snapshot di destinazione rispetto a quella utilizzata per crittografare la snapshot di origine.

Una replica di lettura di un'istanza crittografata Amazon RDS deve essere crittografata utilizzando la stessa chiave KMS dell'istanza DB principale quando entrambe si trovano nella stessa regione. AWS Se l'istanza DB principale e la replica di lettura si trovano in AWS regioni diverse, si crittografa la replica di lettura utilizzando la chiave KMS per quella regione. AWS

È possibile utilizzare una o creare Chiave gestita da AWS chiavi gestite dal cliente. Per gestire le chiavi gestite dal cliente utilizzate per crittografare e decrittografare le risorse Amazon RDS, utilizza AWS Key Management Service (AWS KMS). AWS KMS combina hardware e software sicuri e a disponibilità elevata per offrire un sistema di gestione delle chiavi a misura di cloud. Utilizzando AWS KMS, è possibile creare chiavi gestite dal cliente e definire le politiche che controllano il modo in cui tali chiavi gestite dal cliente possono essere utilizzate. AWS KMS supporta CloudTrail, in modo da poter controllare l'utilizzo delle chiavi KMS per verificare che le chiavi gestite dal cliente vengano utilizzate in modo appropriato. Puoi utilizzare le chiavi gestite dai clienti con Amazon Aurora e AWS servizi supportati come Amazon S3, Amazon EBS e Amazon Redshift. Per un elenco dei servizi integrati con AWS KMS, consulta Service Integration.AWS

Amazon RDS supporta anche la crittografia di un'istanza database di Oracle o SQL Server con Transparent Data Encryption (TDE). TDE può essere utilizzata con la crittografia RDS inattiva, sebbene l'utilizzo simultaneo di TDE e della crittografia RDS inattiva possa influire leggermente sulle prestazioni del database. È necessario gestire chiavi diverse per ogni metodo di crittografia. Per ulteriori informazioni su TDE, consulta Oracle Transparent Data Encryption o Support per la crittografia trasparente dei dati nel SQL server.

Crittografia di un'istanza database

Per abilitare la crittografia per una nuova istanza database, scegliere Enable encryption (Abilita crittografia) nella console Amazon RDS. Per ulteriori informazioni sulla creazione di un istanza database, consulta Creazione di un'istanza database Amazon RDS.

Se utilizzi il AWS CLI comando create-db-instance per creare un'istanza DB crittografata, imposta il parametro. --storage-encrypted Se utilizzi l'operazione API CreateDBInstance, imposta il parametro StorageEncrypted su true.

Quando crei un'istanza database crittografata, puoi scegliere una chiave gestita dal cliente o la Chiave gestita da AWS per Amazon RDS per la crittografia dell'istanza database. Se non specifichi l'identificatore di chiave per una chiave gestita dal cliente, Amazon RDS lo utilizza Chiave gestita da AWS per la tua nuova istanza DB. Amazon RDS ne crea uno Chiave gestita da AWS per Amazon RDS per il tuo AWS account. Il tuo AWS account ha un account Amazon RDS diverso Chiave gestita da AWS per ogni AWS regione.

Per ulteriori informazioni sulle chiavi KMS, consulta AWS KMS keys nella Guida per gli sviluppatori di AWS Key Management Service .

Una volta creata un'istanza database crittografata, non potrai più modificare la chiave KMS utilizzata da quell'istanza database. Pertanto, assicurati di determinare i requisiti della chiave KMS prima di creare la tua istanza database crittografata.

Se utilizzi il AWS CLI create-db-instance comando per creare un'istanza DB crittografata con una chiave gestita dal cliente, imposta il --kms-key-id parametro su qualsiasi identificatore di chiave per la chiave KMS. Se utilizzi la funzionalità CreateDBInstance dell'API Amazon RDS, imposta il parametro KmsKeyId su un qualsiasi identificatore chiave per la chiave KMS. Per utilizzare una chiave gestita dal cliente in un diverso account AWS , specifica l'ARN della chiave o dell'alias.

Importante

Amazon RDS può perdere l'accesso alla chiave KMS per un'istanza DB quando disabiliti la chiave KMS. In questi casi, l'istanza DB crittografata entra in stato tra breve. inaccessible-encryption-credentials-recoverable L'istanza DB rimane in questo stato per sette giorni, durante i quali viene interrotta. Le chiamate API effettuate all'istanza DB durante questo periodo potrebbero non avere esito positivo. Per ripristinare l'istanza DB, abilita la chiave KMS e riavvia questa istanza DB. Abilita la chiave KMS da. AWS Management Console Riavviare l'istanza DB utilizzando il AWS CLI comando start-db-instance o. AWS Management Console

Se l'istanza DB non viene ripristinata entro sette giorni, passa allo stato terminale. inaccessible-encryption-credentials In questo stato, l'istanza DB non è più utilizzabile ed è possibile ripristinare l'istanza DB solo da un backup. È consigliabile abilitare sempre i backup per le istanze database crittografate per evitare la perdita di dati crittografati nei database.

Durante la creazione di un'istanza DB, Amazon RDS verifica se il principale chiamante ha accesso alla chiave KMS e genera una concessione dalla chiave KMS che utilizza per l'intera durata dell'istanza DB. La revoca dell'accesso del principale chiamante alla chiave KMS non influisce su un database in esecuzione. Quando si utilizzano le chiavi KMS in scenari che coinvolgono più account, ad esempio per copiare un'istantanea su un altro account, la chiave KMS deve essere condivisa con l'altro account. Se crei un'istanza DB dallo snapshot senza specificare una chiave KMS diversa, la nuova istanza utilizza la chiave KMS dell'account di origine. La revoca dell'accesso alla chiave dopo aver creato l'istanza DB non influisce sull'istanza. Tuttavia, la disabilitazione della chiave influisce su tutte le istanze DB crittografate con tale chiave. Per evitare che ciò accada, specificate una chiave diversa durante l'operazione di copia dell'istantanea.

Determinare se la crittografia è attivata per un'istanza database

È possibile utilizzare l'API AWS Management Console AWS CLI, o RDS per determinare se la crittografia a riposo è attivata per un'istanza DB.

Per determinare se la crittografia a riposo è attivata per un'istanza database

Accedi AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.
Nel pannello di navigazione, scegliere Databases (Database).
Scegliere il nome dell'istanza database a cui si desidera controllare per visualizzarne i dettagli.
Seleziona la casella Configurazione, e controlla il valore Crittografia sottoStorage (archiviazione).

Mostra Enabled (Abilitato) o Non abilitato.

Per determinare se la crittografia a riposo è attivata per un'istanza DB utilizzando il AWS CLI, chiama il comando describe-db-instances con la seguente opzione:

--db-instance-identifier – Il nome dell'istanza database.

Nell'esempio seguente viene utilizzata una query per restituire TRUE o FALSE per quanto riguarda la crittografia inattiva per l'istanza database mydb.

Esempio


aws rds describe-db-instances --db-instance-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Per determinare se la crittografia dei dati inattivi per un'istanza database utilizza l'API Amazon RDS, chiamare l'operazione DescribeDBInstancescon il parametro seguente:

DBInstanceIdentifier – Il nome dell'istanza database.

Disponibilità della crittografia Amazon RDS

La crittografia Amazon RDS è attualmente disponibile per tutti i motori di database e i tipi di archiviazione, eccetto SQL Server Express Edition.

La crittografia Amazon RDS è disponibile per la maggior parte delle classi di istanza database. Nella tabella seguente sono elencate le classi di istanza database che non supportano la crittografia Amazon RDS:

Tipo di istanza	Classe istanza
General purpose (M1)	db.m1.small db.m1.medium db.m1.large db.m1.xlarge
Memoria ottimizzata (M2)	db.m2.xlarge db.m2.2xlarge db.m2.4xlarge
Burstable (T2)	db.t2.micro

Tipo di istanza

Classe istanza

General purpose (M1)

db.m1.small

db.m1.medium

db.m1.large

db.m1.xlarge

Memoria ottimizzata (M2)

db.m2.xlarge

db.m2.2xlarge

db.m2.4xlarge

Burstable (T2)

db.t2.micro

Crittografia in transito

AWS fornisce una connettività sicura e privata tra istanze DB di tutti i tipi. Inoltre, alcuni tipi di istanza utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze. Questa crittografia utilizza algoritmi AEAD (Authenticated Encryption with Associated Data), con crittografia a 256 bit. Non vi è alcun impatto sulle prestazioni della rete. Per supportare questa crittografia aggiuntiva del traffico in transito tra istanze, è necessario soddisfare i seguenti requisiti:

Le istanze utilizzano i seguenti tipi di istanza:
- Scopo generale: M6i, M6id, M6in, M6idn, M7g
- Memoria ottimizzata: R6i, R6id, R6in, R6idn, R7g, X2idn, X2iEdn, X2iEzn
Le Regione AWS istanze sono le stesse.
Le istanze si trovano nello stesso VPC o VPC con peering e il traffico non passa attraverso un dispositivo di rete virtuale, ad esempio un load balancer (load balancer) o un Transit Gateway.

Limiti relativi a cluster di database crittografate Amazon RDS

Esistono le seguenti limitazioni per i cluster di database crittografate Amazon RDS:

Puoi solo crittografare un'istanza database Amazon RDS quando la crei, non dopo la sua creazione.

Tuttavia, poiché è possibile crittografare una copia di uno snapshot DB non crittografata, puoi aggiungere in modo efficace la crittografia a un'istanza database non crittografata. Ovvero, è possibile creare uno snapshot dell'istanza database e quindi creare una copia crittografata di quella snapshot. Puoi quindi ripristinare un'istanza database da uno snapshot crittografata e pertanto disporre di una copia crittografata dell'istanza database originale. Per ulteriori informazioni, consulta Copia di una snapshot DB..
Non puoi disattivare la crittografia di una istanza database crittografato.
Non puoi creare uno snapshot crittografata per una istanza database non crittografato.
Una snapshot di una istanza database crittografato deve essere crittografata utilizzando la stessa chiave KMS dell'istanza database.
Non è possibile creare una replica di lettura crittografata di un'istanza database non crittografata o una replica di lettura non crittografata di un'istanza database crittografata.
Le repliche di lettura crittografate devono essere crittografate con la stessa chiave KMS dell'istanza DB di origine quando entrambe si trovano nella stessa regione. AWS
Non puoi ripristinare un backup o uno snapshot non crittografato in un'istanza database crittografata.
Per copiare un'istantanea crittografata da una AWS regione all'altra, è necessario specificare la chiave KMS nella regione di destinazione. AWS Questo perché le chiavi KMS sono specifiche della AWS regione in cui vengono create.

La snapshot di origine resta crittografata nel processo di copia. Amazon RDS utilizza la crittografia envelope per proteggere i dati durante il processo di copia. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service .
Non è possibile decrittografare una istanza database crittografato. Tuttavia, puoi esportare i dati da una istanza database crittografato e importarli in una istanza database non crittografato.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crittografia dei dati

AWS KMS key gestione