Crittografia delle risorse Amazon RDS

Amazon RDS I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le istanze database, i backup automatici, le repliche di lettura e gli snapshot.

Dopo la crittografia dei dati, RDSAmazon gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia.

Nota

Per i dati in transito tra le repliche di origine e quelle di lettura vengono crittografati, anche durante la replica tra regioni. AWS

Panoramica sulla crittografia delle risorse Amazon RDS

Le istanze database RDS crittografate di Amazon forniscono un ulteriore livello di protezione dei dati proteggendo i dati dall'accesso non autorizzato allo storage sottostante. Puoi utilizzare la RDS crittografia Amazon per aumentare la protezione dei dati delle tue applicazioni distribuite nel cloud e soddisfare i requisiti di conformità per la crittografia a riposo.

Per un'istanza DB RDS crittografata con Amazon, tutti i log, i backup e gli snapshot sono crittografati. Amazon RDS utilizza una AWS Key Management Service chiave per crittografare queste risorse. Per ulteriori informazioni sulle KMS chiavi, consulta AWS KMS keysla Guida per gli AWS Key Management Service sviluppatori eAWS KMS key gestione. Se si copia un'istantanea crittografata, è possibile utilizzare una KMS chiave diversa per crittografare l'istantanea di destinazione rispetto a quella utilizzata per crittografare l'istantanea di origine.

Una replica di lettura di un'istanza RDS crittografata Amazon deve essere crittografata utilizzando la stessa KMS chiave dell'istanza DB principale quando entrambe si trovano nella stessa AWS regione. Se l'istanza DB principale e la replica di lettura si trovano in AWS regioni diverse, si crittografa la replica di lettura utilizzando la KMS chiave relativa a quella regione. AWS

È possibile utilizzare una Chiave gestita da AWS o creare chiavi gestite dal cliente. Per gestire le chiavi gestite dai clienti utilizzate per crittografare e decrittografare le tue RDS risorse Amazon, usi il AWS Key Management Service ().AWS KMS AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Utilizzando AWS KMS, è possibile creare chiavi gestite dal cliente e definire le politiche che controllano il modo in cui tali chiavi gestite dal cliente possono essere utilizzate. AWS KMS supporta CloudTrail, in modo da poter controllare l'utilizzo KMS delle chiavi per verificare che le chiavi gestite dal cliente vengano utilizzate in modo appropriato. Puoi utilizzare le chiavi gestite dai clienti con Amazon Aurora e AWS servizi supportati come Amazon S3, Amazon e EBS Amazon Redshift. Per un elenco dei servizi che sono integrati con AWS KMS, consulta AWS Service Integration.

Amazon supporta RDS anche la crittografia di un'istanza DB Oracle o SQL Server con Transparent Data Encryption (TDE). TDEpuò essere utilizzato con RDS la crittografia a riposo, sebbene l'utilizzo TDE simultaneo della RDS crittografia a riposo possa influire leggermente sulle prestazioni del database. È necessario gestire chiavi diverse per ogni metodo di crittografia. Per ulteriori informazioni suTDE, vedere Oracle Transparent Data Encryption oSupport per la crittografia trasparente dei dati nel SQL server.

Crittografia di un'istanza database

Per crittografare una nuova istanza DB, scegli Abilita crittografia sulla RDS console Amazon. Per ulteriori informazioni sulla creazione di un istanza database, consulta Creazione di un'istanza Amazon RDS DB.

Se usi il create-db-instance AWS CLI comando per creare un'istanza DB crittografata, imposta il --storage-encrypted parametro. Se utilizzate l'reateDBInstanceAPIoperazione C, impostate il StorageEncrypted parametro su true.

Quando crei un'istanza DB crittografata, puoi scegliere una chiave gestita dal cliente o consentire Chiave gestita da AWS RDS ad Amazon di crittografare la tua istanza DB. Se non specifichi l'identificatore di chiave per una chiave gestita dal cliente, Amazon RDS lo utilizza Chiave gestita da AWS per la tua nuova istanza DB. Amazon ne RDS crea uno Chiave gestita da AWS per Amazon RDS per il tuo AWS account. Il tuo AWS account Amazon ha un account diverso Chiave gestita da AWS RDS per ogni AWS regione.

Per ulteriori informazioni sulle KMS chiavi, consulta AWS KMS keysla Guida per AWS Key Management Service gli sviluppatori.

Dopo aver creato un'istanza DB crittografata, non è possibile modificare la KMS chiave utilizzata da tale istanza DB. Pertanto, assicurati di determinare i requisiti KMS chiave prima di creare l'istanza DB crittografata.

Se utilizzi il AWS CLI create-db-instance comando per creare un'istanza DB crittografata con una chiave gestita dal cliente, imposta il --kms-key-id parametro su qualsiasi identificatore di chiave per la KMS chiave. Se utilizzi l'RDSAPICreateDBInstanceoperazione Amazon, imposta il KmsKeyId parametro su qualsiasi identificatore di chiave per la KMS chiave. Per utilizzare una chiave gestita dal cliente in un altro AWS account, specifica la chiave ARN o l'aliasARN.

Importante

Amazon RDS può perdere l'accesso alla KMS chiave per un'istanza DB quando disabiliti la KMS chiave. In questi casi, l'istanza DB crittografata entra in inaccessible-encryption-credentials-recoverable stato tra breve. L'istanza DB rimane in questo stato per sette giorni, durante i quali viene interrotta. APIle chiamate effettuate all'istanza DB durante questo periodo potrebbero non avere esito positivo. Per ripristinare l'istanza DB, abilita la KMS chiave e riavvia questa istanza DB. Abilita la KMS chiave da AWS Management Console. Riavviare l'istanza DB utilizzando il AWS CLI comando start-db-instanceo AWS Management Console.

Se l'istanza DB non viene ripristinata entro sette giorni, passa allo inaccessible-encryption-credentials stato terminale. In questo stato, l'istanza DB non è più utilizzabile ed è possibile ripristinare l'istanza DB solo da un backup. È consigliabile abilitare sempre i backup per le istanze database crittografate per evitare la perdita di dati crittografati nei database.

Durante la creazione di un'istanza DB, Amazon RDS verifica se il principale chiamante ha accesso alla KMS chiave e genera una concessione dalla KMS chiave che utilizza per l'intera durata dell'istanza DB. La revoca dell'accesso del principale chiamante alla KMS chiave non influisce su un database in esecuzione. Quando si utilizzano KMS le chiavi in scenari con più account, ad esempio per copiare un'istantanea su un altro account, la KMS chiave deve essere condivisa con l'altro account. Se si crea un'istanza DB dallo snapshot senza specificare una KMS chiave diversa, la nuova istanza utilizza la chiave dell'account di origineKMS. La revoca dell'accesso alla chiave dopo aver creato l'istanza DB non influisce sull'istanza. Tuttavia, la disabilitazione della chiave influisce su tutte le istanze DB crittografate con tale chiave. Per evitare che ciò accada, specificate una chiave diversa durante l'operazione di copia dell'istantanea.

Determinare se la crittografia è attivata per un'istanza database

È possibile utilizzare AWS Management Console AWS CLI, o RDS API per determinare se la crittografia a riposo è attivata per un'istanza DB.

Console

Per determinare se la crittografia a riposo è attivata per un'istanza database

1. Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.

2. Nel pannello di navigazione, scegliere Databases (Database).

3. Scegliere il nome dell'istanza database a cui si desidera controllare per visualizzarne i dettagli.

4. Seleziona la casella Configurazione, e controlla il valore Crittografia sottoStorage (archiviazione).

   Mostra Enabled (Abilitato) o Non abilitato.

   

AWS CLI

Per determinare se la crittografia a riposo è attivata per un'istanza DB utilizzando il AWS CLI, chiama il describe-db-instancescomando con la seguente opzione:

• --db-instance-identifier – Il nome dell'istanza database.

Nell'esempio seguente viene utilizzata una query per restituire TRUE o FALSE per quanto riguarda la crittografia inattiva per l'istanza database mydb.

Esempio

aws rds describe-db-instances --db-instance-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

RDS API

Per determinare se la crittografia a riposo è attivata per un'istanza DB utilizzando Amazon RDSAPI, chiama l'escribeDBInstancesoperazione D con il seguente parametro:

• DBInstanceIdentifier – Il nome dell'istanza database.

Disponibilità della crittografia RDS

La crittografia RDSAmazon è attualmente disponibile per tutti i motori di database e i tipi di storage, ad eccezione di SQL Server Express Edition.

La RDS crittografia Amazon è disponibile per la maggior parte delle classi di istanze DB. La tabella seguente elenca le classi di istanze DB che non supportano RDS la crittografia Amazon:

Tipo di istanza	Classe istanza
General purpose (M1)	db.m1.small db.m1.medium db.m1.large db.m1.xlarge
Memoria ottimizzata (M2)	db.m2.xlarge db.m2.2xlarge db.m2.4xlarge
Burstable (T2)	db.t2.micro

Crittografia in transito

AWS fornisce connettività sicura e privata tra istanze DB di tutti i tipi. Inoltre, alcuni tipi di istanza utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze. Questa crittografia utilizza algoritmi Authenticated Encryption with Associated Data (AEAD), con crittografia a 256 bit. Non vi è alcun impatto sulle prestazioni della rete. Per supportare questa crittografia aggiuntiva del traffico in transito tra istanze, è necessario soddisfare i seguenti requisiti:

• Le istanze utilizzano i seguenti tipi di istanza:

  • Scopo generale: M6i, M6id, M6in, M6idn, M7g

  • Memoria ottimizzata: R6i, R6id, R6in, R6idn, R7g, X2idn, X2iEdn, X2iEzn

• Le Regione AWS istanze sono le stesse.

• Le istanze sono uguali VPC o collegate tra loro e il traffico non passa attraverso un dispositivo o un servizio di rete virtuale, come un sistema di bilanciamento del carico o un gateway di transitoVPCs.

• Puoi crittografare un'istanza Amazon RDS DB solo quando la crei, non dopo la creazione dell'istanza DB.

  Tuttavia, poiché è possibile crittografare una copia di uno snapshot DB non crittografata, puoi aggiungere in modo efficace la crittografia a un'istanza database non crittografata. Ovvero, è possibile creare uno snapshot dell'istanza database e quindi creare una copia crittografata di quella snapshot. Puoi quindi ripristinare un'istanza database da uno snapshot crittografata e pertanto disporre di una copia crittografata dell'istanza database originale. Per ulteriori informazioni, consulta Copiare uno snapshot DB per Amazon RDS.

• Non puoi disattivare la crittografia di una istanza database crittografato.

• Non puoi creare uno snapshot crittografata per una istanza database non crittografato.

• Non è possibile creare una replica di lettura crittografata di un'istanza database non crittografata o una replica di lettura non crittografata di un'istanza database crittografata.

• Le repliche di lettura crittografate devono essere crittografate con la stessa KMS chiave dell'istanza DB di origine quando entrambe si trovano nella stessa AWS regione.

• Non puoi ripristinare un backup o uno snapshot non crittografato in un'istanza database crittografata.

• Per copiare un'istantanea crittografata da una AWS regione all'altra, è necessario specificare la KMS chiave nella regione di destinazione. AWS Questo perché KMS le chiavi sono specifiche della AWS regione in cui vengono create.

  La snapshot di origine resta crittografata nel processo di copia. Amazon RDS Amazon utilizza la crittografia a busta per proteggere i dati durante il processo di copia. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service .

• Non è possibile decrittografare una istanza database crittografato. Tuttavia, puoi esportare i dati da una istanza database crittografato e importarli in una istanza database non crittografato.