AWS KMS 以及 Amazon Monitron 中的数据加密 - Amazon Monitron

从2024年10月31日起,亚马逊Monitron将不再向新客户开放。如果您想使用该服务,请在该日期之前注册。现有客户可以继续照常使用该服务。如需了解与 Amazon Monitron 类似的功能,请参阅我们的博客文章

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS KMS 以及 Amazon Monitron 中的数据加密

Amazon Monitron 通过 AWS Key Management Service () 使用两种密钥之一对您的数据和项目信息进行加密。AWS KMS您可以选择以下任一种密钥:

  • 一个 AWS 拥有的密钥。这是默认加密密钥,如果您在设置项目时未选择自定义加密设置,系统会使用此密钥。

  • 一位客户管理CMK了。您可以使用 AWS 账户中的现有密钥,也可以在 AWS KMS 控制台中创建密钥或使用API。如果您使用的是现有密钥,则选择 “选择一个 AWS KMS 密钥”,然后从密钥列表中选择一个 AWS KMS 密钥,或者输入另一个密钥的 Amazon 资源名称 (ARN)。如果要创建新密钥,请选择创建 AWS KMS 密钥。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的创建密钥

使用 AWS KMS 加密数据时,请记住以下几点:

  • 您的数据在 Amazon S3 和 Amazon DynamoDB 的云中进行静态加密。

  • 当使用AWS自有数据加密数据时CMK,Amazon Monitron 会CMK为每位客户单独使用一个加密数据。

  • IAM用户必须具有所需的权限才能调用与 Amazon Monitron 相关的 AWS KMS API操作。Amazon Monitron 在其托管式策略中包含以下权限,供控制台使用。

    {
                 "Effect": "Allow",
                 "Action": [
                         "kms:ListKeys",
                         "kms:DescribeKey",
                         "kms:ListAliases",
                         "kms:CreateGrant"
                 ],
                 "Resource": "*"
         },

    有关更多信息,请参阅《AWS Key Management Service 开发者指南》 AWS KMS中的将IAM策略与一起使用

  • 如果您删除或禁用您的CMK,则将无法访问数据。有关详细信息,请参阅《AWS Key Management Service 开发人员指南》中的删除 AWS KMS keys