Como o Amazon Relational Database Service (Amazon RDS) usa o AWS KMS - AWS Key Management Service

Como o Amazon Relational Database Service (Amazon RDS) usa o AWS KMS

Você pode usar o Amazon Relational Database Service (Amazon RDS) para configurar, operar e escalar um banco de dados relacional na nuvem. Como opção, você pode optar por criptografar os dados armazenados na sua instância de banco de dados do Amazon RDS com uma AWS KMS key (chave do KMS) no AWS KMS. Para saber como criptografar seus recursos do Amazon RDS com uma chave do KMS, consulte Criptografia dos recursos do Amazon RDS, no Manual do usuário do Amazon RDS.

Importante

O Amazon RDS oferece suporte apenas para chaves do KMS simétricas. Não é possível usar uma chave do KMS assimétrica para criptografar dados em um banco de dados do Amazon RDS. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

O Amazon RDS baseia-se na Criptografia do Amazon Elastic Block Store (Amazon EBS) para fornecer criptografia total de disco para volumes de banco de dados. Para obter mais informações sobre como o Amazon EBS usa o AWS KMS para criptografar volumes, consulte Como o Amazon Elastic Block Store (Amazon EBS) usa o AWS KMS.

Quando você cria uma instância de banco de dados criptografada com o Amazon RDS, o Amazon RDS cria um volume do EBS criptografado em seu nome para armazenar o banco de dados. Os dados armazenados em repouso no volume, os snapshots de banco de dados, os backups automatizados e as réplicas de leitura são criptografados sob a chave do KMS que você especificou quando criou a instância de banco de dados.

Contexto de criptografia do Amazon RDS

Quando o Amazon RDS usa sua chave do KMS ou quando o Amazon EBS usa a chave do KMS em nome do Amazon RDS, o serviço especifica um contexto de criptografia. O contexto de criptografia é dados autenticados adicionados (AAD) que o AWS KMS usa para garantir a integridade dos dados. Quando um contexto de criptografia é especificado para uma operação de criptografia, o serviço deve especificar esse mesmo contexto para a operação de descriptografia. Caso contrário, ocorrerá uma falha na descriptografia. O contexto de criptografia é também gravado nos logs do AWS CloudTrail para ajudar você a compreender por que uma determinada chave do KMS foi usada. Os logs do CloudTrail podem conter muitas entradas que descrevem o uso de uma chave do KMS, mas o contexto de criptografia em cada entrada de log pode ajudar a determinar o motivo desse uso específico.

No mínimo, o Amazon RDS sempre usa o ID da instância de banco de dados para o contexto de criptografia, como no seguinte exemplo em formato JSON:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Esse contexto de criptografia pode ajudar a identificar a instância de banco de dados para a qual a chave do KMS foi usada.

Quando a chave do KMS é usada em uma determinada instância de banco de dados e em um volume do EBS específico, o ID da instância de banco de dados e o ID do volume do EBS são usados no contexto de criptografia, como no seguinte exemplo em formato JSON:

{ "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }