靜態加密:它在 Amazon 中的工作原理 QLDB - Amazon Quantum 賬本數據庫(AmazonQLDB)
AWS 擁有的金鑰客戶受管金鑰如何QLDB使用補助恢復補助金考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

靜態加密:它在 Amazon 中的工作原理 QLDB

QLDB靜態加密會使用 256 位元進階加密標準 (AES-256) 來加密您的資料。這有助於保護您的數據免受未經授權的訪問基礎存儲。默認情況下,存儲在QLDB分類帳中的所有數據都會在靜態時加密。伺服器端加密是透明的,這表示不需要對應用程式進行變更。

靜態加密整合 AWS Key Management Service (AWS KMS),用於管理用來保護QLDB分類帳的加密金鑰。建立新分類帳或更新現有分類帳時,您可以選擇下列其中一種型態: AWS KMS 按鍵:

  • AWS 擁有的金鑰— 預設的加密類型。密鑰由擁有QLDB(不收取額外費用)。

  • 客戶管理金鑰 — 金鑰會儲存在您的 AWS 帳戶 並由您建立、擁有及管理。您可以完全控制密鑰(AWS KMS 收費)。

AWS 擁有的金鑰

AWS 擁有的金鑰 不存儲在您的 AWS 帳戶。 它們是KMS密鑰集合的一部分 AWS 擁有和管理多個使用 AWS 帳戶. AWS 服務 可以使用 AWS 擁有的金鑰 保護您的資料。

您不需要建立或管理 AWS 擁有的金鑰。 但是,您無法查看或跟踪 AWS 擁有的金鑰,或審核其使用情況。我們不會向您收取月費或使用費 AWS 擁有的金鑰,他們不算反對 AWS KMS 您帳戶的配額。

如需詳細資訊,請參閱 AWS 擁有的金鑰 中的 AWS Key Management Service 開發人員指南

客戶受管金鑰

客戶管理的金KMS鑰是您的金鑰 AWS 帳戶 您創建,擁有和管理。您可以完全控制這些KMS按鍵。QLDB僅支援對稱加密KMS金鑰。

使用客戶受管金鑰來取得下列功能:

  • 設定和維護金鑰原IAM則、原則和授權,以控制金鑰的存取

  • 啟用和停用金鑰

  • 旋轉密碼材料的鑰匙

  • 建立金鑰標籤和別名

  • 排定要刪除的金鑰

  • 匯入您自己的金鑰材料,或使用您擁有和管理的自訂金鑰存放區

  • 使用 AWS CloudTrail 和 Amazon CloudWatch 日誌來跟踪發QLDB送到的請求 AWS KMS 代表您

如需詳細資訊,請參閱中的客戶管理金鑰 AWS Key Management Service 開發人員指南

客戶受管金鑰會在每次API通話時產生費用,並且 AWS KMS 配額適用於這些KMS金鑰。如需詳細資訊,請參閱 AWS KMS 資源或請求配額

當您將客戶管理的金鑰指定為分類帳的KMS金鑰時,日誌儲存和索引儲存中的所有總帳資料都會使用相同的客戶管理金鑰來保護。

無法存取的客戶管理

如果停用客戶管理的金鑰、排定要刪除的金鑰,或撤銷金鑰的授權,則分類帳加密的狀態會變為KMS_KEY_INACCESSIBLE。在這種狀態下,分類帳受損,不接受任何讀取或寫入請求。無法存取的金鑰可防止所有使用者和QLDB服務加密或解密資料,並且無法在分類帳中執行讀取和寫入作業。QLDB必須有權訪問您的KMS密鑰,以確保您可以繼續訪問分類帳並防止數據丟失。

重要

在您還原金鑰的授權之後,或重新啟用已停用的金鑰之後,受損的分類帳會自動返回作用中狀態。

但是,刪除客戶管理的金鑰是不可逆轉的。刪除金鑰後,您將無法再存取受該金鑰保護的分類帳,而且資料永久無法復原

若要檢查分類帳的加密狀態,請使用 AWS Management Console 或操DescribeLedgerAPI作。

Amazon 如何QLDB使用贈款 AWS KMS

QLDB需要贈款才能使用您的客戶管理密鑰。當您建立受客戶管理金鑰保護的分類帳時,QLDBCreateGrant請將請求傳送至 AWS KMS。 中的補助金 AWS KMS 用於授予QLDB訪問客戶中的KMS密鑰 AWS 帳戶。 如需詳細資訊,請參閱中的使用授權 AWS Key Management Service 開發人員指南

QLDB要求贈款使用您的客戶管理密鑰進行以下用途 AWS KMS 操作:

  • DescribeKey— 確認指定的對稱加密KMS金鑰有效。

  • GenerateDataKey— 生成一個唯一的對稱數據密鑰,該密鑰QLDB用於加密分類帳中的靜態數據。

  • 解密 — 解密由客戶管理金鑰加密的資料金鑰。

  • 加密 — 使用客戶管理的金鑰將明文加密為密文。

您可以隨時撤銷授權,以移除服務對客戶管理金鑰的存取權。如果這樣做,金鑰就會變得無法存取,QLDB而且無法存取受客戶管理金鑰保護的任何總帳資料。在這種狀態下,分類帳會受損,並且在您恢復密鑰的授權之前不接受任何讀取或寫入請求。

恢復補助金 AWS KMS

若要還原客戶管理金鑰的授權並復原中分類帳的存取權QLDB,您可以更新分類帳並指定相同的KMS索引鍵。如需說明,請參閱 正在更新 AWS KMS key 現有分類帳

靜態加密注意事項

當您在中使用靜態加密時,請考慮以下事項QLDB:

  • 依預設,所有QLDB總帳資料均啟用伺服器端靜態加密,且無法停用。您無法僅加密分類帳中的資料子集。

  • 只有持久性儲存媒體上的資料是靜態 (靜止) 時,靜態加密才會加密資料。如果資料安全性是傳輸中資料或使用中資料的考量,您可能需要採取下列其他措施:

    • 傳輸中的資料:傳輸中QLDB的所有資料都經過加密。根據預設,往來通訊會使QLDB用通訊HTTPS協定,藉由使用安全通訊端層 (SSL)/傳輸層安全性 (TLS) 加密來保護網路流量。

    • 使用中的資料:使用用戶端加密,在傳送資料之前保護您的資料。QLDB

若要瞭解如何實作分類帳的客戶管理金鑰,請繼續執行在 Amazon 中使用客戶受管金鑰 QLDB