Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia delle risorse Neptune inattive
Le istanze crittografate di Neptune offrono un livello aggiuntivo di protezione dei dati proteggendoli dagli accessi non autorizzati all'archiviazione sottostante. Puoi usare la crittografia Neptune per aumentare la protezione dei dati delle applicazioni implementate nel cloud. Puoi utilizzarlo anche per soddisfare i requisiti di conformità per la crittografia. data-at-rest
Per gestire le chiavi utilizzate per crittografare e decrittografare le risorse di Neptune, si utilizza ().AWS Key Management ServiceAWS KMS AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Utilizzando AWS KMS, è possibile creare chiavi di crittografia e definire le politiche che controllano il modo in cui tali chiavi possono essere utilizzate. AWS KMS supporta AWS CloudTrail, in modo da poter controllare l'utilizzo delle chiavi per verificare che vengano utilizzate in modo appropriato. Puoi usare AWS KMS le tue chiavi in combinazione con Neptune e servizi AWS supportati come Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS) e Amazon Redshift. Per un elenco dei servizi che supportano AWS KMS, consulta How AWS Services AWS KMS Use nella Developer Guide.AWS Key Management Service
Tutti i log, i backup e gli snapshot sono crittografati per un'istanza Neptune crittografata.
Abilitazione della crittografia per un'istanza database Neptune
Per abilitare la crittografia per una nuova istanza database Neptune, scegliere Sì nella sezione Abilita crittografia della console Neptune. Per informazioni sulla creazione di un'istanza database Neptune, consulta Creazione di un nuovo cluster database Neptune.
Quando crei un'istanza crittografata di Neptune DB, puoi anche fornire AWS KMS l'identificatore della chiave per la tua chiave di crittografia. Se non specifichi un identificatore di AWS KMS chiave, Neptune utilizza la chiave di crittografia Amazon RDS predefinita aws/rds () per la tua nuova istanza DB Neptune. AWS KMS crea la chiave di crittografia predefinita per Neptune per il tuo account. AWS Il tuo AWS account ha una chiave di crittografia predefinita diversa per ogni AWS regione.
Dopo aver creato un'istanza database Neptune crittografata, non è possibile modificare la chiave di crittografia per quell'istanza. Quindi, assicurati di determinare i requisiti della chiave di crittografia prima di creare l'istanza database Neptune crittografata.
È possibile utilizzare il nome della risorsa Amazon (ARN) di una chiave di un altro account per crittografare un'istanza database Neptune. Se crei un'istanza di Neptune DB con AWS lo stesso account che possiede AWS KMS la chiave di crittografia utilizzata per crittografare quella nuova istanza di Neptune DB AWS KMS , l'ID della chiave che passi può AWS KMS essere l'alias della chiave anziché l'ARN della chiave.
Importante
Se Neptune perde l'accesso alla chiave di crittografia per un'istanza database Neptune, ad esempio quando viene revocato l'accesso di Neptune a una chiave, l'istanza database crittografata viene impostata su uno stato terminale e può essere ripristinata solo da un backup. È consigliabile sempre abilitare i backup per le istanze database Neptune crittografate per evitare la perdita di dati crittografati nei database.
Autorizzazioni chiave necessarie per abilitare la crittografia
L'utente o il ruolo IAM che crea un'istanza database Neptune crittografata deve disporre almeno delle seguenti autorizzazioni per la chiave KMS:
"kms:Encrypt""kms:Decrypt""kms:GenerateDataKey""kms:ReEncryptTo""kms:GenerateDataKeyWithoutPlaintext""kms:CreateGrant""kms:ReEncryptFrom""kms:DescribeKey"
Ecco un esempio di una policy della chiave che include le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable Permissions for root principal", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key for Neptune", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext", "kms:CreateGrant", "kms:ReEncryptFrom", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "rds.us-east-1.amazonaws.com" } } }, { "Sid": "Deny use of the key for non Neptune", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess" }, "Action": [ "kms:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "kms:ViaService": "rds.us-east-1.amazonaws.com" } } } ] }
La prima istruzione di questa policy è facoltativa. Fornisce accesso al principale root dell'utente.
La seconda istruzione fornisce l'accesso a tutte le AWS KMS API richieste per questo ruolo, limitatamente all'RDS Service Principal.
La terza dichiarazione rafforza ulteriormente la sicurezza imponendo che questa chiave non sia utilizzabile da questo ruolo per nessun altro servizio. AWS
È anche possibile ridurre ulteriormente l'ambito delle autorizzazioni createGrant aggiungendo:
"Condition": { "Bool": { "kms:GrantIsForAWSResource": true } }
Limitazioni della crittografia Neptune
Alla crittografia dei cluster Neptune si applicano le seguenti limitazioni:
-
Non è possibile convertire un cluster database non crittografato in uno crittografato.
Tuttavia, puoi ripristinare un cluster database non crittografato in un cluster database crittografato. Per eseguire questa operazione, specifica una chiave di crittografia KMS quando ripristini dallo snapshot di cluster database non crittografato.
-
Non è possibile convertire un'istanza database non crittografata in una crittografata. È possibile abilitare la crittografia di un'istanza database solo al momento della creazione.
Inoltre, le istanze database crittografate non possono essere modificate per disabilitare la crittografia.
Non è possibile creare una replica di lettura crittografata di un'istanza database non crittografata o una replica di lettura non crittografata di un'istanza database crittografata.
Le repliche di lettura crittografate devono essere crittografate con la stessa chiave dell'istanza database dell'origine.
