靜態加密:在 Amazon 中運作的方式 QLDB - Amazon Quantum Ledger 資料庫 (Amazon QLDB)
AWS 擁有的金鑰客戶受管金鑰QLDB 如何使用授予還原授予考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

靜態加密:在 Amazon 中運作的方式 QLDB

QLDB 靜態加密會使用 256 位元進階加密標準 (AES-256) 加密您的資料。這有助於保護您的資料免於未經授權存取基礎儲存體。根據預設QLDB,存放在分類帳中的所有資料都會靜態加密。伺服器端加密是透明的,這表示不需要變更應用程式。

靜態加密與 AWS Key Management Service (AWS KMS) 整合,用於管理用來保護QLDB分類帳的加密金鑰。建立新分類帳或更新現有分類帳時,您可以選擇下列其中一種 AWS KMS 金鑰類型:

  • AWS 擁有的金鑰 – 預設加密類型。金鑰由 擁有 QLDB(不收取額外費用)。

  • 客戶受管金鑰 – 金鑰會儲存在 中, AWS 帳戶 並由您建立、擁有和管理。您可以完全控制金鑰 (需AWS KMS 付費)。

AWS 擁有的金鑰

AWS 擁有的金鑰 不會儲存在您的 中 AWS 帳戶。它們是金鑰集合的一部分,這些KMS金鑰 AWS 擁有和管理用於多個 AWS 帳戶。 AWS 服務 可以使用 AWS 擁有的金鑰 來保護您的資料。

您不需要建立或管理 AWS 擁有的金鑰。但是,您無法檢視或追蹤 AWS 擁有的金鑰,或稽核其使用。您不需要支付 的每月費用或使用費 AWS 擁有的金鑰,而且不會計入 AWS KMS 您帳戶的配額。

如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS 擁有的金鑰

客戶受管金鑰

客戶受管金鑰是您 AWS 帳戶 建立、擁有和管理的 KMS金鑰。您可以完全控制這些KMS金鑰。QLDB 僅支援對稱加密KMS金鑰。

使用客戶受管金鑰來取得下列功能:

  • 設定和維護金鑰政策、IAM政策和授予,以控制對金鑰的存取

  • 啟用和停用金鑰

  • 輪換金鑰的密碼編譯材料

  • 建立金鑰標籤和別名

  • 排程要刪除的金鑰

  • 匯入您自己的金鑰材料,或使用您擁有和管理的自訂金鑰存放區

  • 使用 AWS CloudTrail 和 Amazon CloudWatch Logs 追蹤 AWS KMS 代表您QLDB傳送至 的請求

如需更多資訊,請參閱 AWS Key Management Service 開發人員指南中的客戶受管金鑰

客戶受管金鑰每次API呼叫都會產生費用,而 AWS KMS 配額會套用至這些KMS金鑰。如需詳細資訊,請參閱 AWS KMS 資源或請求配額

當您將客戶受管金鑰指定為分類帳的KMS金鑰時,日誌儲存和索引儲存中的所有分類帳資料都會受到相同客戶受管金鑰的保護。

無法存取的客戶受管金鑰

如果您停用客戶受管金鑰、排程刪除金鑰,或撤銷金鑰上的授予,您的分類帳加密狀態會變成 KMS_KEY_INACCESSIBLE。在此狀態下,分類帳受損,不接受任何讀取或寫入請求。無法存取的金鑰QLDB可防止所有使用者和服務加密或解密資料,以及在分類帳中執行讀取和寫入操作。QLDB 必須能夠存取您的KMS金鑰,以確保您可以繼續存取您的分類帳並防止資料遺失。

重要

還原金鑰上的授予後,或重新啟用停用的金鑰後,受損的分類帳會自動返回作用中狀態。

不過,刪除客戶受管金鑰是不可逆的。刪除金鑰後,您無法再存取以該金鑰保護的分類帳,而且資料會永久無法復原

若要檢查分類帳的加密狀態,請使用 AWS Management Console 或 DescribeLedgerAPI操作。

Amazon 如何在 中使用QLDB授予 AWS KMS

QLDB 需要授予才能使用您的客戶受管金鑰。當您建立以客戶受管金鑰保護的分類帳時, 會透過傳送CreateGrant請求至 來代表您QLDB建立授予 AWS KMS。中的授予 AWS KMS 用於授予客戶 中KMS金鑰的QLDB存取權 AWS 帳戶。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用授權

QLDB 需要 授予才能使用您的客戶受管金鑰進行下列 AWS KMS 操作:

  • DescribeKey – 確認指定的對稱加密KMS金鑰有效。

  • GenerateDataKey – 產生唯一的對稱資料金鑰,QLDB用來加密分類帳中的靜態資料。

  • 解密 – 解密客戶受管金鑰加密的資料金鑰。

  • 加密 – 使用客戶受管金鑰將純文字加密為加密文字。

您可以隨時撤銷授予,以移除服務對客戶受管金鑰的存取權。如果您這樣做,金鑰會變得無法存取,並QLDB失去受客戶受管金鑰保護的任何分類帳資料的存取權。在此狀態下,分類帳會受損,在您還原金鑰上的授予之前,不會接受任何讀取或寫入請求。

在 中還原授予 AWS KMS

若要還原客戶受管金鑰的授予,並復原對 中分類帳的存取權QLDB,您可以更新分類帳並指定相同的KMS金鑰。如需說明,請參閱 更新現有分類帳 AWS KMS key 的

靜態加密考量

當您在 中使用靜態加密時,請考慮下列事項QLDB:

  • 所有QLDB分類帳資料預設為啟用伺服器端靜態加密,且無法停用。您無法僅加密分類帳中的資料子集。

  • 只有持久性儲存媒體上的資料是靜態 (靜止) 時,靜態加密才會加密資料。如果資料安全是傳輸中資料或使用中資料的問題,您可能需要採取其他措施,如下所示:

    • 傳輸中資料 :您在 中的所有資料QLDB都會在傳輸中加密。根據預設, 與 和 之間的通訊QLDB會使用 HTTPS 通訊協定,該通訊協定會使用 Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 加密來保護網路流量。

    • 使用中的資料 :使用用戶端加密QLDB來保護您的資料,然後再將其傳送至 。

若要了解如何實作分類帳的客戶受管金鑰,請繼續 在 Amazon 中使用客戶受管金鑰 QLDB