As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografando dados do Amazon DocumentDB em repouso
nota
AWS KMS está substituindo o termo chave mestra do cliente (CMK) por AWS KMS keyuma KMSchave. O conceito não mudou. Para evitar alterações significativas, AWS KMS está mantendo algumas variações desse termo.
Você criptografa os dados em repouso em seu cluster do Amazon DocumentDB especificando a opção de criptografia de armazenamento ao criar o cluster. A criptografia de armazenamento é ativada em todo o cluster e é aplicada a todas as instâncias, incluindo a instância principal e todas as réplicas. Ela também é aplicada a volumes de armazenamento, dados, índices, logs, backups automatizados e snapshots do cluster.
O Amazon DocumentDB usa o Advanced Encryption Standard (AES-256) de 256 bits para criptografar seus dados usando chaves de criptografia armazenadas em (). AWS Key Management Service AWS KMS Ao usar um cluster Amazon DocumentDB com criptografia em repouso ativada, você não precisa modificar a lógica do aplicativo ou a conexão do cliente. O Amazon DocumentDB lida de forma transparente com a descriptografia de seus dados com um impacto mínimo sobre o desempenho.
O Amazon DocumentDB se integra AWS KMS e usa um método conhecido como criptografia de envelope para proteger seus dados. Quando um cluster do Amazon DocumentDB é criptografado com um AWS KMS, o Amazon DocumentDB AWS KMS solicita o uso da KMS sua chave para gerar uma chave de dados de texto cifrado para criptografar o volume de armazenamento. A chave de dados de texto cifrado é criptografada usando a KMS chave que você define e é armazenada junto com os dados criptografados e os metadados de armazenamento. Quando o Amazon DocumentDB precisa acessar seus dados criptografados, ele solicita AWS KMS a descriptografia da chave de dados de texto cifrado usando sua KMS chave e armazena em cache a chave de dados de texto simples na memória para criptografar e descriptografar dados de forma eficiente no volume de armazenamento.
O recurso de criptografia de armazenamento no Amazon DocumentDB está disponível para todos os tamanhos de instância compatíveis e em todos os Regiões da AWS lugares onde o Amazon DocumentDB está disponível.
Habilitando a criptografia em repouso para um cluster Amazon DocumentDB
Você pode ativar ou desativar a criptografia em repouso em um cluster Amazon DocumentDB quando o cluster é provisionado usando o AWS Management Console ou o (). AWS Command Line Interface AWS CLI Os clusters criados usando o console têm a criptografia em repouso habilitada por padrão. Os clusters que você cria usando o AWS CLI têm a criptografia em repouso desativada por padrão. Portanto, você deve explicitamente habilitar a criptografia em repouso usando o parâmetro --storage-encrypted. Em ambos os casos, após o cluster ser criado, não é possível alterar a opção de criptografia em repouso.
O Amazon DocumentDB usa AWS KMS para recuperar e gerenciar chaves de criptografia e definir as políticas que controlam como essas chaves podem ser usadas. Se você não especificar um identificador de AWS KMS chave, o Amazon DocumentDB usa a chave de serviço AWS KMS gerenciado padrão. O Amazon DocumentDB cria uma KMS chave separada para cada uma Região da AWS em sua. Conta da AWS Para obter mais informações, consulte Conceitos do AWS Key Management Service.
Para começar a criar sua própria KMS chave, consulte Introdução no Guia do AWS Key Management Service desenvolvedor.
Importante
Você deve usar uma KMS chave de criptografia simétrica para criptografar seu cluster, pois o Amazon DocumentDB suporta somente chaves de criptografia simétricas. KMS Não use uma KMS chave assimétrica para tentar criptografar os dados em seus clusters do Amazon DocumentDB. Para ter mais informações, consulte Chaves assimétricas do AWS KMS no Guia do desenvolvedor do AWS Key Management Service .
Se o Amazon DocumentDB não puder mais obter acesso à chave de criptografia de um cluster por exemplo, quando o acesso a uma chave for revogado o cluster criptografado entrará em um estado de terminal. Nesse caso, só é possível restaurar o cluster a partir de um backup. Para o Amazon DocumentDB, os backups estão sempre habilitados para 1 dia.
Além disso, se você desativar a chave para um cluster criptografado do Amazon DocumentDB, acabará perdendo o acesso de leitura e gravação a esse cluster. Quando o Amazon DocumentDB encontra um cluster que é criptografado por uma chave à qual ele não tem acesso, ele coloca o cluster em um estado terminal. Nesse estado, o cluster deixa de estar disponível e o estado atual do banco de dados não pode ser recuperado. Para restaurar o cluster, você deve reativar o acesso à chave de criptografia para o Amazon DocumentDB e, depois, restaurar o cluster a partir de um backup.
Importante
Você não pode alterar a KMS chave de um cluster criptografado depois de já tê-lo criado. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seu cluster criptografado.
Limitações para clusters criptografados do Amazon DocumentDB
As seguintes limitações existem para clusters criptografados do Amazon DocumentDB.
-
É possível habilitar ou desabilitar a criptografia em repouso para um cluster do Amazon DocumentDB somente no momento em que ele é criado, e não após a criação ser concluída. No entanto, é possível criar uma cópia criptografada de um cluster decriptografado criando um snapshot do cluster decriptografado e, em seguida, restaure o snapshot decriptografado como um novo cluster ao especificar a opção de criptografia em repouso.
Para obter mais informações, consulte os tópicos a seguir.
-
Os clusters do Amazon DocumentDB com criptografia de armazenamento habilitada não podem ser modificados para desabilitar a criptografia.
-
Todas as instâncias, backups automatizados, snapshots e índices em um cluster Amazon DocumentDB são criptografados com a mesma chave. KMS
