靜態加密：如何在 Amazon Keyspaces ockets 中運作

Amazon Sockets 靜態加 Keyspaces 靜態加密靜態加密靜態加密靜態加密功能會使用 256 位元的進階加密標準 (AES-256) 來加密您的資料。這有助於防止對底層儲存未經授權的存取，進而保護您的資料 Amazon Keyspaces 資料表中的所有客戶資料預設為靜態加密，伺服器端加密是透明的，這表示不需要變更應用程式。

靜態加密會與 AWS Key Management Service (AWS KMS) 整合，以管理用於加密資料表的加密金鑰。建立新的資料表或更新現有資料表時，您可以選擇下列其中一個AWS KMS金鑰選項：

• AWS 擁有的金鑰— 這是預設的加密類型。該金鑰是由 Amazon Key Sockets 所擁 Keyspaces（不需額外費用）。

• 客戶受管金鑰：此金鑰會存放在您的帳戶中，並且由您建立、擁有且管理。您可以完整控制客戶受管金鑰 (須AWS KMS支付費用)。

AWS KMS金鑰 (KMS 金鑰)

靜態加密使用AWS KMS金鑰保護您的所有 Amazon 金 Keyspaces 資料。根據預設，Amazon Keyspaces kets AWS 擁有的金鑰會使用在 Amazon Key Sockets 服務帳戶中建立和管理的多租用戶加密金鑰。

不過，您可以使用您中的客戶管理金鑰來加密 Amazon 金鑰 Keyspaces 表格AWS 帳戶。您可以為金鑰空間中的每個資料表選取不同的 KMS 金鑰。您為資料表選取的 KMS 金鑰也會用來加密其所有中繼資料和可還原的備份。

建立或更新資料表時，您可以選取資料表的 KMS 金鑰。您可以隨時在 Amazon 金鑰空間主控台或使用 ALTER TABLE 陳述式來變更資料表的 KMS 金鑰。切換 KMS 金鑰的程序非常順暢，不需要停機時間或導致服務降級。

金鑰階層

Amazon 金 Keyspaces 使用金鑰階層來加密資料。在此金鑰階層中，KMS 金鑰是根金鑰。它用來加密和解密 Amazon 金 Keyspaces 資料表加密金鑰。表格加密金鑰用於加密 Amazon Keyspaces space 內部使用的加密金鑰，以便在執行讀取和寫入操作時加密和解密資料。

使用加密金鑰階層，您可以變更 KMS 金鑰，而不必重新加密資料或影響應用程式和進行中的資料作業。

表格索引鍵

Amazon 金 Keyspaces 資料表金鑰用作金鑰加密金鑰。Amazon Keyspaces 使用資料表金鑰來保護用於將存放在資料表中的資料、日誌檔和可還原備份中的資料加密金鑰。Amazon Keyspaces 為資料表中的每個基礎結構產生唯一的資料加密金鑰。不過，多個資料表資料列可能會受到相同的資料加密金鑰保護。

當您第一次將 KMS 金鑰設定為客戶受管金鑰時，AWS KMS會產生資料金鑰。數AWS KMS據鍵是指亞馬遜密鑰 Keyspaces 中的表鍵。

當您存取靜態表時，Amazon KMS 金 Keyspaces 會傳送請求AWS KMS給來使用 KMS 金鑰解密資料表金鑰。然後，它會使用純文字表格金鑰來解密 Amazon Keyspaces space 資料加密金鑰，並使用純文字資料加密金鑰來解密表格資料。

Amazon Keyspaces 外部使用和存放資料表金鑰和資料加密金鑰AWS KMS。它使用進階加密標準 (AES) 加密和 256 位元加密金鑰來保護所有金鑰。然後，它將加密密鑰與加密的數據存儲，以便他們可以根據需要解密表數據。

資料表金鑰快取

AWS KMS為了避免每次 Amazon Amazon Sockets 操作都要呼叫，Amazon Keyspaces Sockets 會快取記憶體中每個連線的純文字資料表金鑰。如果 Amazon Keyspaces space 靜態五分鐘後收到快取資料表金鑰的請求，則會傳送新請求給AWS KMS來解密資料表金鑰。此呼叫會擷取自從上次請求解密資料表金鑰以來，AWS KMS或AWS Identity and Access Management (IAM) 中對 KMS 金鑰存取政策所做的任何變更。

封套加密

如果您變更了資料表的客戶受管金鑰，Amazon Keyspace 便會產生新的資料表金鑰。然後，它會使用新的資料表金鑰來重新加密資料加密金鑰。它還使用新的表格密鑰來加密用於保護可還原備份的先前表格密鑰。這個程序稱為封套加密。這樣可確保即使輪換客戶管理的金鑰，您也可以存取可還原的備份。如需封套加密的詳細資訊，請參閱AWS Key Management Service開發人員指南中的封套加密。

AWS擁有的金鑰

AWS 擁有的金鑰不會儲存在您的AWS 帳戶. 它們是AWS擁有和管理的 KMS 金鑰的一部分，以在多個中使用AWS 帳戶。 AWS服務可用AWS 擁有的金鑰來保護您的資料。

您無法檢視、管理或使用AWS 擁有的金鑰，或稽核其使用方式。不過，您不需要執行任何工作或變更任何程式即可保護會將資料加密的金鑰。

您不需就使用支付每月費用或使用費用AWS 擁有的金鑰，這些費用也不會計入您帳戶的AWS KMS配額中。

客戶受管金鑰

客戶受管金鑰是您AWS 帳戶在中建立、擁有和管理的金鑰。您可以完全控制這些 KMS 金鑰。

使用客戶受管金鑰來取得下列功能：

• 您可以建立和管理客戶受管金鑰，包括設定和維護金鑰政策、IAM 政策和授予，以控制對客戶受管金鑰的存取。您可以啟用和停用客戶受管金鑰、啟用和停用自動輪換金鑰，以及排程在不再使用時刪除該客戶受管金鑰。您可以為您管理的客戶管理金鑰建立標籤和別名。

• 您可以搭配匯入的金鑰材料使用客戶受管金鑰，或是使用位於您所擁有及管理自訂金鑰存放區中的客戶受管金鑰。

• 您可以使用AWS CloudTrail和 Amazon CloudWatch Logs 來追蹤 Amazon Keyspaces Sockets 代表您傳送給AWS KMS的請求。如需詳細資訊，請參閱步驟 6：使用設定監視AWS CloudTrail。

客戶受管金鑰會針對每次 API 呼叫產生費用，且這些 KMS 金鑰適用AWS KMS配額。如需詳細資訊，請參閱AWS KMS資源或請求配額。

當您指定一個客戶受管金鑰作為資料表的根加密金鑰時，可還原備份的備份會以建立備份時指定給資料表的加密金鑰相同的加密金鑰。如果資料表的 KMS 金鑰已輪替，金鑰包覆可確保最新的 KMS 金鑰可存取所有可還原的備份。

Amazon 密 Keyspaces 必須能夠存取您的客戶受管金鑰，才能讓您存取表格資料。如果加密金鑰的狀態設定為停用或已排程刪除，Amazon 金 Keyspaces 將無法加密或解密資料。因此，您無法對資料表執行讀取和寫入作業。只要服務偵測到您的加密金鑰無法存取，Amazon Keyspaces 會傳送電子通知提醒您。

您必須在七天內恢復對加密金鑰的存取權，否則 Amazon 密 Keyspaces 會自動刪除您的表格。為了預防措施，Amazon Keyspaces space 會在刪除資料表之前建立表格資料的可還原備份。亞馬遜 Keyspaces 將可恢復的備份保留 35 天。35 天後，您將無法再還原表格資料。您不需支付可還原備份的費用，但需支付標準還原費用。

您可以使用此可還原的備份將資料還原至新表格。若要開始還原，最後一次用於資料表的客戶受管金鑰必須啟用，且 Amazon Keyspace 必須可以存取該資料表。

注意

當您建立的資料表使用客戶管理的金鑰加密，而該金鑰在建立程序完成之前無法存取或排定要刪除時，就會發生錯誤。建立資料表作業失敗，而且系統會傳送電子郵件通知給您。

靜態加密使用須知

在您使用靜態加密靜態加密靜態加密時請考量以下項目。

• 已在所有 Amazon Amazon Key 資料表表中啟用靜態加密靜態加密，且無法停用。整個表在靜態時都是加密的，您無法選擇特定的列或行進行加密。

• 根據預設，Amazon 密 Keyspaces 會使用單一服務預設金鑰 (AWS 擁有的金鑰) 來加密所有資料表。如果這個金鑰不存在，就會為您建立。服務預設金鑰無法停用。

• 靜態加密只會在永久儲存媒體上靜態 (靜態) 時加密資料。如果資料安全性是傳輸中資料或使用中資料的考量，您必須採取其他措施：

  • 傳輸中資料：Amazon Keyspaces 中的所有資料在傳輸中皆會加密。根據預設，與 Amazon Keyspaces 之間的通訊會受到使用 Secure Sockets Layer (SSL) /Transport Layer (TLS) 加密保護。

  • 使用中資料：在將資料傳送至 Amazon Keyspaces Sockets 前使用用戶端加密來保護資料。

  • 客戶管理金鑰：資料表中的靜態資料一律使用客戶管理的金鑰加密。但是，執行多個資料列不可完全更新的作業會AWS 擁有的金鑰在處理期間使用暫時加密資料 這包括範圍刪除操作和同時訪問靜態和非靜態數據的操作。

• 單一客戶管理金鑰最多可有 50,000 筆授權。與客戶受管金鑰相關聯的每個 Amazon 金鑰 Keyspaces 表會耗用 2 次授權。刪除資料表時，會釋放一個授權。第二個授權用於建立表格的自動快照，以防止 Amazon Keyspaces 無意中無法存取客戶受管金鑰時，防止資料遺失。該授權在刪除表格後 42 天釋放。