Crittografia At-Rest in MemoryDB

Per proteggere i dati, MemoryDB e Amazon S3 offrono diversi modi per limitare l'accesso ai dati nei cluster. Per ulteriori informazioni, consulta MemoryDB e Amazon VPC e Gestione delle identità e degli accessi in MemoryDB.

La crittografia a riposo di MemoryDB è sempre abilitata per aumentare la sicurezza dei dati crittografando i dati persistenti. Crittografa i seguenti aspetti:

• Dati nel registro delle transazioni

• Disco durante le operazioni di sincronizzazione, istantanea e scambio

• Istantanee archiviate in Amazon S3

MemoryDB offre la crittografia predefinita (gestita dal servizio) a riposo, oltre alla possibilità di utilizzare le proprie chiavi root simmetriche gestite dal cliente in AWS Key Management Service (KMS).

I dati archiviati su SSD (unità a stato solido) in cluster abilitati alla suddivisione dei dati sono sempre crittografati per impostazione predefinita.

Per informazioni sulla crittografia dei dati in transito, consulta Crittografia in transito (TLS) in MemoryDB

Utilizzo delle AWS chiavi gestite dai clienti di KMS

MemoryDB supporta chiavi root simmetriche gestite dal cliente (chiave KMS) per la crittografia a riposo. Le chiavi KMS gestite dal cliente sono chiavi di crittografia che puoi creare, possedere e gestire nel tuo account. AWS Per ulteriori informazioni, consulta Customer Root Keys nella AWS Key Management Service Developer Guide. Le chiavi devono essere create in AWS KMS prima di poter essere utilizzate con MemoryDB.

Per informazioni su come creare le chiavi principali di AWS KMS, consulta Creating Keys nella AWS Key Management Service Developer Guide.

MemoryDB consente l'integrazione con KMS. AWS Per ulteriori informazioni, consulta Utilizzo di concessioni nella AWS Guida per gli sviluppatori Key Management Service. Non è necessaria alcuna azione del cliente per abilitare l'integrazione di MemoryDB con KMS. AWS

La chiave kms:ViaService condition limita l'uso di una chiave AWS KMS alle richieste provenienti da servizi specifici. AWS Da utilizzare kms:ViaService con MemoryDB, includi entrambi i ViaService nomi nel valore della chiave di condizione:. memorydb.amazon_region.amazonaws.com Per ulteriori informazioni, vedere kms:. ViaService

Puoi usarlo AWS CloudTrailper tenere traccia delle richieste a cui MemoryDB invia per tuo AWS Key Management Service conto. Tutte le chiamate API AWS Key Management Service relative alle chiavi gestite dal cliente hanno i log corrispondenti CloudTrail . Puoi anche vedere le concessioni create da MemoryDB chiamando la chiamata all'ListGrantsAPI KMS.

Una volta crittografato un cluster utilizzando una chiave gestita dal cliente, tutte le istantanee del cluster vengono crittografate come segue:

• Le istantanee giornaliere automatiche vengono crittografate utilizzando la chiave gestita dal cliente associata al cluster.

• L'istantanea finale creata quando il cluster viene eliminato viene inoltre crittografata utilizzando la chiave gestita dal cliente associata al cluster.

• Le istantanee create manualmente sono crittografate per impostazione predefinita per utilizzare la chiave KMS associata al cluster. Puoi sostituirla scegliendo un'altra chiave gestita dal cliente.

• Per impostazione predefinita, la copia di un'istantanea prevede l'utilizzo della chiave gestita dal cliente associata allo snapshot di origine. Puoi sostituirla scegliendo un'altra chiave gestita dal cliente.

Nota

• Le chiavi gestite dal cliente non possono essere utilizzate per l'esportazione di istantanee nel bucket Amazon S3 selezionato. Tuttavia, tutte le istantanee esportate in Amazon S3 vengono crittografate utilizzando la crittografia lato server. Puoi scegliere di copiare il file di istantanea su un nuovo oggetto S3 e cifrarlo utilizzando una chiave KMS gestita dal cliente, copiare il file in un altro bucket S3 configurato con crittografia predefinita utilizzando una chiave KMS o modificare un'opzione di crittografia nel file stesso.

• Puoi anche utilizzare chiavi gestite dal cliente per crittografare istantanee create manualmente che non utilizzano chiavi gestite dal cliente per la crittografia. Con questa opzione, il file di snapshot archiviato in Amazon S3 viene crittografato utilizzando una chiave KMS, anche se i dati non sono crittografati nel cluster originale.

Il ripristino da un'istantanea consente di scegliere tra le opzioni di crittografia disponibili, simili alle scelte di crittografia disponibili durante la creazione di un nuovo cluster.

• Se si elimina la chiave o si disabilita la chiave e si revocano le concessioni per la chiave utilizzata per crittografare un cluster, il cluster diventa irrecuperabile. In altre parole, non può essere modificato o ripristinato dopo un guasto hardware. AWS KMS elimina le chiavi principali solo dopo un periodo di attesa di almeno sette giorni. Dopo l'eliminazione della chiave, puoi utilizzare una chiave gestita dal cliente diversa per creare un'istantanea a scopo di archiviazione.

• La rotazione automatica delle chiavi preserva le proprietà delle chiavi principali del AWS KMS, quindi la rotazione non ha alcun effetto sulla capacità di accedere ai dati di MemoryDB. I cluster MemoryDB crittografati non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave principale e l'aggiornamento di qualsiasi riferimento alla vecchia chiave. Per ulteriori informazioni, consulta Rotating Customer Root Keys nella AWS Key Management Service Developer Guide.

• La crittografia di un cluster MemoryDB utilizzando la chiave KMS richiede una concessione per cluster. Questa concessione viene utilizzata per tutta la durata del cluster. Inoltre, durante la creazione di istantanee viene utilizzata una concessione per istantanea. Questa concessione viene ritirata una volta creata l'istantanea.

• Per ulteriori informazioni su concessioni e limiti AWS KMS, consulta Quotas nella AWS Key Management Service Developer Guide.

Vedi anche

• Crittografia in transito (TLS) in MemoryDB

• MemoryDB e Amazon VPC

• Gestione delle identità e degli accessi in MemoryDB