Datenverschlüsselung für Amazon Aurora DSQL - Amazon Aurora DSQL
KMS-SchlüsseltypenVerschlüsselung im RuhezustandVerwendung von KMS und DatenschlüsselnAutorisieren Ihres KMS-SchlüsselsVerschlüsselungskontextÜberwachung AWS KMSEinen verschlüsselten Cluster erstellenEinen Schlüssel entfernen oder aktualisierenÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung für Amazon Aurora DSQL

Amazon Aurora DSQL verschlüsselt alle Benutzerdaten im Ruhezustand. Um die Sicherheit zu erhöhen, verwendet diese Verschlüsselung AWS Key Management Service ()AWS KMS. Diese Funktionalität trägt zur Verringerung des Betriebsaufwands und der Komplexität bei, die mit dem Schutz sensibler Daten einhergeht. Verschlüsselung im Ruhezustand hilft Ihnen:

  • Reduzieren Sie den betrieblichen Aufwand, der durch den Schutz sensibler Daten entsteht

  • Entwickeln Sie sicherheitsrelevante Anwendungen, die strenge Verschlüsselungsvorschriften und regulatorische Anforderungen erfüllen

  • Fügen Sie eine zusätzliche Datenschutzebene hinzu, indem Sie Ihre Daten stets in einem verschlüsselten Cluster sichern

  • Halten Sie Unternehmensrichtlinien, Branchen- oder behördliche Vorschriften und Compliance-Anforderungen ein

Mit Aurora DSQL können Sie sicherheitsrelevante Anwendungen entwickeln, die strenge Verschlüsselungsvorschriften und regulatorische Anforderungen erfüllen. In den folgenden Abschnitten wird erklärt, wie Sie die Verschlüsselung für neue und bestehende Aurora DSQL-Datenbanken konfigurieren und Ihre Verschlüsselungsschlüssel verwalten.

KMS-Schlüsseltypen für Aurora DSQL

Aurora DSQL lässt sich integrieren AWS KMS , um die Verschlüsselungsschlüssel für Ihre Cluster zu verwalten. Weitere Informationen zu Schlüsseltypen und Status finden Sie unter AWS Key Management Service Konzepte im AWS Key Management Service Entwicklerhandbuch. Wenn Sie einen neuen Cluster erstellen, können Sie aus den folgenden KMS-Schlüsseltypen wählen, um Ihren Cluster zu verschlüsseln:

AWS-eigener Schlüssel

Standardverschlüsselungstyp. Aurora DSQL besitzt den Schlüssel ohne zusätzliche Kosten für Sie. Amazon Aurora DSQL entschlüsselt Cluster-Daten transparent, wenn Sie auf einen verschlüsselten Cluster zugreifen. Sie müssen Ihren Code oder Ihre Anwendungen nicht ändern, um verschlüsselte Cluster zu verwenden oder zu verwalten, und alle Aurora DSQL-Abfragen funktionieren mit Ihren verschlüsselten Daten.

Kundenverwalteter Schlüssel

Sie erstellen, besitzen und verwalten den Schlüssel in Ihrem AWS-Konto. Sie haben die volle Kontrolle über den KMS-Schlüssel. AWS KMS Gebühren fallen an.

Die Verschlüsselung im Ruhezustand mit der AWS-eigener Schlüssel ist ohne zusätzliche Kosten verfügbar. Für vom Kunden verwaltete Schlüssel fallen jedoch AWS KMS Gebühren an. Weitere Informationen finden Sie in der AWS KMS-Preisliste.

Sie können jederzeit zwischen diesen Schlüsseltypen wechseln. Weitere Informationen zu Schlüsseltypen finden Sie unter Vom Kunden verwaltete Schlüssel und AWS-eigene Schlüsselim AWS Key Management Service Entwicklerhandbuch.

Anmerkung

Aurora DSQL Encryption at Rest ist in allen AWS Regionen verfügbar, in denen Aurora DSQL verfügbar ist.

Verschlüsselung im Ruhezustand in Aurora DSQL

Amazon Aurora DSQL verwendet den 256-Bit-Advanced Encryption Standard (AES-256), um Ihre Daten im Ruhezustand zu verschlüsseln. Diese Verschlüsselung trägt dazu bei, Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher zu schützen. AWS KMS verwaltet die Verschlüsselungsschlüssel für Ihre Cluster. Sie können den Standard AWS-eigene Schlüssel verwenden oder Ihren eigenen wählen AWS KMS Kundenverwaltete Schlüssel. Weitere Informationen zur Angabe und Verwaltung von Schlüsseln für Ihre Aurora DSQL-Cluster finden Sie unter Einen verschlüsselten Aurora DSQL-Cluster erstellen undEinen Schlüssel für Ihren Aurora DSQL-Cluster entfernen oder aktualisieren.

AWS-eigene Schlüssel

Aurora DSQL verschlüsselt standardmäßig alle Cluster mit. AWS-eigene Schlüssel Diese Schlüssel können kostenlos verwendet werden und werden jährlich gewechselt, um Ihre Kontoressourcen zu schützen. Sie müssen diese Schlüssel nicht einsehen, verwalten, verwenden oder prüfen, sodass keine Maßnahmen zum Datenschutz erforderlich sind. Weitere Informationen zu AWS-eigene Schlüssel finden Sie AWS-eigene Schlüsselim AWS Key Management Service Entwicklerhandbuch.

Kundenverwaltete Schlüssel

Sie erstellen, besitzen und verwalten von Kunden verwaltete Schlüssel in Ihrem AWS-Konto. Sie haben die volle Kontrolle über diese KMS-Schlüssel, einschließlich ihrer Richtlinien, Verschlüsselungsmaterialien, Tags und Aliase. Weitere Informationen zur Verwaltung von Berechtigungen finden Sie unter Vom Kunden verwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.

Wenn Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung auf Clusterebene angeben, verschlüsselt Aurora DSQL den Cluster und alle seine regionalen Daten mit diesem Schlüssel. Um Datenverlust zu verhindern und den Cluster-Zugriff aufrechtzuerhalten, benötigt Aurora DSQL Zugriff auf Ihren Verschlüsselungsschlüssel. Wenn Sie Ihren vom Kunden verwalteten Schlüssel deaktivieren, Ihren Schlüssel für die Löschung planen oder eine Richtlinie haben, die Ihren Servicezugriff einschränkt, ändert sich der Verschlüsselungsstatus für Ihren Cluster auf. KMS_KEY_INACCESSIBLE Wenn Aurora DSQL nicht auf den Schlüssel zugreifen kann, können Benutzer keine Verbindung zum Cluster herstellen, der Verschlüsselungsstatus für den Cluster ändert sich KMS_KEY_INACCESSIBLE und der Service verliert den Zugriff auf die Clusterdaten.

Bei Clustern mit mehreren Regionen können Kunden den AWS KMS Verschlüsselungsschlüssel jeder Region separat konfigurieren, und jeder regionale Cluster verwendet seinen eigenen Verschlüsselungsschlüssel auf Clusterebene. Wenn Aurora DSQL nicht auf den Verschlüsselungsschlüssel für einen Peer in einem Cluster mit mehreren Regionen zugreifen kann, wird der Status für diesen Peer geändert KMS_KEY_INACCESSIBLE und er ist für Lese- und Schreibvorgänge nicht mehr verfügbar. Andere Peers setzen den normalen Betrieb fort.

Anmerkung

Wenn Aurora DSQL nicht auf Ihren vom Kunden verwalteten Schlüssel zugreifen kann, ändert sich Ihr Cluster-Verschlüsselungsstatus aufKMS_KEY_INACCESSIBLE. Nachdem Sie den Schlüsselzugriff wiederhergestellt haben, erkennt der Service die Wiederherstellung automatisch innerhalb von 15 Minuten. Weitere Informationen finden Sie unter Cluster-Leerlauf.

Wenn bei Clustern mit mehreren Regionen der Schlüsselzugriff über einen längeren Zeitraum verloren geht, hängt die Clusterwiederherstellungszeit davon ab, wie viele Daten geschrieben wurden, während auf den Schlüssel nicht zugegriffen werden konnte.

Verwendung AWS KMS und Datenschlüssel mit Aurora DSQL

Die Aurora-DSQL-Verschlüsselung im Ruhezustand verwendet eine AWS KMS key und eine Hierarchie von Datenschlüsseln, um Ihre Clusterdaten zu schützen.

Wir empfehlen Ihnen, Ihre Verschlüsselungsstrategie zu planen, bevor Sie Ihren Cluster in Aurora DSQL implementieren. Wenn Sie sensible oder vertrauliche Daten in Aurora DSQL speichern, sollten Sie erwägen, die clientseitige Verschlüsselung in Ihren Plan aufzunehmen. Auf diese Weise können Sie Daten so nah wie möglich an ihrem Ursprung verschlüsseln und den Schutz der Daten während ihres gesamten Lebenszyklus gewährleisten.

Verwenden von AWS KMS key s mit Aurora DSQL

Verschlüsselung im Ruhezustand schützt Ihren Aurora DSQL-Cluster unter einem AWS KMS key. Standardmäßig verwendet Aurora DSQL einen Mehrmandanten-Verschlüsselungsschlüssel AWS-eigener Schlüssel, der in einem Aurora DSQL-Dienstkonto erstellt und verwaltet wird. Sie können Ihre Aurora DSQL-Cluster jedoch unter einem vom Kunden verwalteten Schlüssel in Ihrem verschlüsseln. AWS-Konto Sie können für jeden Cluster einen anderen KMS-Schlüssel auswählen, auch wenn dieser an einer Einrichtung mit mehreren Regionen teilnimmt.

Sie wählen den KMS-Schlüssel für einen Cluster aus, wenn Sie den Cluster erstellen oder aktualisieren. Sie können den KMS-Schlüssel für einen Cluster jederzeit ändern, entweder in der Aurora DSQL-Konsole oder mithilfe des UpdateCluster Vorgangs. Der Vorgang des Schlüsselwechsels erfordert keine Ausfallzeiten oder Leistungseinbußen.

Wichtig

Aurora DSQL unterstützt nur symmetrische KMS-Schlüssel. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um Ihre Aurora DSQL-Cluster zu verschlüsseln.

Ein vom Kunden verwalteter Schlüssel bietet die folgenden Vorteile.

  • Sie erstellen und verwalten den KMS-Schlüssel, einschließlich der Festlegung der Schlüsselrichtlinien und IAM-Richtlinien zur Steuerung des Zugriffs auf den KMS-Schlüssel. Sie können den KMS-Schlüssel aktivieren und deaktivieren, die automatische Schlüsseldrehung aktivieren und deaktivieren und den KMS-Schlüssel löschen, wenn er nicht mehr verwendet wird.

  • Sie können einen kundenverwalteten Schlüssel mit importiertem Schlüsselmaterial oder einen kundenverwalteten Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, den Sie besitzen und verwalten.

  • Sie können die Verschlüsselung und Entschlüsselung Ihres Aurora DSQL-Clusters überprüfen, indem Sie die Aurora-DSQL-API-Aufrufe in den Protokollen untersuchen. AWS KMS AWS CloudTrail

Sie AWS-eigener Schlüssel ist jedoch kostenlos und ihre Nutzung wird nicht auf AWS KMS Ressourcen- oder Anforderungskontingente angerechnet. Für vom Kunden verwaltete Schlüssel fällt für jeden API-Aufruf eine Gebühr an, und für diese Schlüssel gelten AWS KMS Kontingente.

Clusterschlüssel mit Aurora DSQL verwenden

Aurora DSQL verwendet den AWS KMS key für den Cluster, um einen eindeutigen Datenschlüssel für den Cluster, den so genannten Clusterschlüssel, zu generieren und zu verschlüsseln.

Der Clusterschlüssel wird als Schlüsselverschlüsselungsschlüssel verwendet. Aurora DSQL verwendet diesen Clusterschlüssel, um Datenverschlüsselungsschlüssel zu schützen, die zur Verschlüsselung der Clusterdaten verwendet werden. Aurora DSQL generiert einen eindeutigen Datenverschlüsselungsschlüssel für jede zugrunde liegende Struktur in einem Cluster, aber mehrere Clusterelemente können durch denselben Datenverschlüsselungsschlüssel geschützt werden.

Um den Clusterschlüssel zu entschlüsseln, sendet Aurora DSQL eine Anfrage an, AWS KMS wenn Sie zum ersten Mal auf einen verschlüsselten Cluster zugreifen. Um den Cluster verfügbar zu halten, überprüft Aurora DSQL regelmäßig den Entschlüsselungszugriff auf den KMS-Schlüssel, auch wenn Sie nicht aktiv auf den Cluster zugreifen.

Aurora DSQL speichert und verwendet den Clusterschlüssel und die Datenverschlüsselungsschlüssel außerhalb von AWS KMS. Alle Schlüssel werden mit Advanced Encryption Standard (AES)-Verschlüsselung und 256-Bit-Verschlüsselungsschlüsseln geschützt. Anschließend werden die verschlüsselten Schlüssel zusammen mit den verschlüsselten Daten gespeichert, sodass sie bei Bedarf für die Entschlüsselung der Clusterdaten zur Verfügung stehen.

Wenn Sie den KMS-Schlüssel für Ihren Cluster ändern, verschlüsselt Aurora DSQL den vorhandenen Clusterschlüssel erneut mit dem neuen KMS-Schlüssel.

Zwischenspeichern von Cluster-Schlüsseln

Um zu vermeiden, dass jede Aurora-DSQL-Operation aufgerufen AWS KMS wird, speichert Aurora DSQL die Klartext-Clusterschlüssel für jeden Aufrufer im Speicher zwischen. Wenn Aurora DSQL nach 15 Minuten Inaktivität eine Anfrage für den zwischengespeicherten Clusterschlüssel erhält, sendet es eine neue Anfrage an, um den Clusterschlüssel AWS KMS zu entschlüsseln. Dieser Aufruf erfasst alle Änderungen, die nach der letzten Anfrage zur Entschlüsselung des AWS KMS key Clusterschlüssels an den Zugriffsrichtlinien von In AWS KMS oder AWS Identity and Access Management (IAM) vorgenommen wurden.

Autorisieren der Verwendung Ihres AWS KMS key für Aurora DSQL

Wenn Sie in Ihrem Konto einen vom Kunden verwalteten Schlüssel verwenden, um Ihren Aurora DSQL-Cluster zu schützen, müssen die Richtlinien für diesen Schlüssel Aurora DSQL die Erlaubnis geben, ihn in Ihrem Namen zu verwenden.

Sie haben die volle Kontrolle über die Richtlinien für einen vom Kunden verwalteten Schlüssel. Aurora DSQL benötigt keine zusätzliche Autorisierung, um die Standardeinstellung AWS-eigener Schlüssel zum Schutz der Aurora DSQL-Cluster in Ihrem zu verwenden. AWS-Konto

Schlüsselrichtlinie für einen kundenverwalteten Schlüssel

Wenn Sie einen vom AWS KMS key Kunden verwalteten Schlüssel zum Schutz eines Aurora DSQL-Clusters auswählen, benötigt Aurora DSQL die Erlaubnis, den im Namen des Prinzipals zu verwenden, der die Auswahl trifft. Dieser Prinzipal, ein Benutzer oder eine Rolle, muss über die Berechtigungen verfügen AWS KMS key , die Aurora DSQL benötigt. Sie können diese Berechtigungen in einer Schlüsselrichtlinie oder einer IAM-Richtlinie bereitstellen.

Aurora DSQL benötigt mindestens die folgenden Berechtigungen für einen vom Kunden verwalteten Schlüssel:

  • kms:Encrypt

  • kms:Decrypt

  • kms:ReEncrypt*(für kms: ReEncryptFrom und kms:ReEncryptTo)

  • kms:GenerateDataKey

  • kms:DescribeKey

Beispielsweise bietet die folgende Beispiel-Schlüsselrichtlinie nur die erforderlichen Berechtigungen. Die Richtlinie hat folgende Auswirkungen:

  • Ermöglicht Aurora DSQL die Verwendung von AWS KMS key in kryptografischen Vorgängen, jedoch nur, wenn es im Namen von Prinzipalen im Konto handelt, die die Erlaubnis haben, Aurora DSQL zu verwenden. Wenn die in der Richtlinienerklärung angegebenen Principals nicht berechtigt sind, Aurora DSQL zu verwenden, schlägt der Anruf fehl, auch wenn er vom Aurora DSQL-Dienst stammt.

  • Der kms:ViaService Bedingungsschlüssel erlaubt die Berechtigungen nur, wenn die Anfrage von Aurora DSQL im Namen der in der Grundsatzerklärung aufgeführten Prinzipale stammt. Diese Prinzipale können diese Operationen nicht direkt aufrufen.

  • Gewährt den AWS KMS key Administratoren (Benutzern, die die db-team Rolle übernehmen können) schreibgeschützten Zugriff auf AWS KMS key

Bevor Sie ein Beispiel für eine Schlüsselrichtlinie verwenden, ersetzen Sie die Beispielprinzipale durch tatsächliche Prinzipale aus Ihrem. AWS-Konto

{
  "Sid": "Enable dsql IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey",
    "kms:Encrypt",
    "kms:ReEncryptFrom",
    "kms:ReEncryptTo"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:dsql:ClusterId": "w4abucpbwuxx",
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
},
{
  "Sid": "Enable dsql IAM User Describe Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
}

Aurora DSQL-Verschlüsselungskontext

Ein Verschlüsselungskontext ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.

Aurora DSQL verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Wenn Sie einen vom Kunden verwalteten Schlüssel zum Schutz Ihres Aurora DSQL-Clusters verwenden, können Sie den Verschlüsselungskontext verwenden, um die Verwendung des AWS KMS key in Auditaufzeichnungen und Protokollen zu identifizieren. Er erscheint auch im Klartext in Protokollen wie denen in. AWS CloudTrail

Der Verschlüsselungskontext kann auch als Bedingung für die Autorisierung in Richtlinien verwendet werden.

In seinen Anfragen an AWS KMS verwendet Aurora DSQL einen Verschlüsselungskontext mit einem Schlüssel-Wert-Paar:


"encryptionContext": {
  "aws:dsql:ClusterId": "w4abucpbwuxx"
},

Das Schlüssel-Wert-Paar identifiziert den Cluster, den Aurora DSQL verschlüsselt. Der Schlüssel lautet aws:dsql:ClusterId. Der Wert ist der Identifier des Clusters.

Überwachung der Aurora DSQL-Interaktion mit AWS KMS

Wenn Sie einen vom Kunden verwalteten Schlüssel zum Schutz Ihrer Aurora DSQL-Cluster verwenden, können Sie AWS CloudTrail Protokolle verwenden, um die Anfragen zu verfolgen, an die Aurora DSQL in AWS KMS Ihrem Namen sendet.

Erweitern Sie die folgenden Abschnitte, um zu erfahren, wie Aurora DSQL die AWS KMS Operationen GenerateDataKey und Decrypt verwendet.

Wenn Sie die Verschlüsselung im Ruhezustand auf einem Cluster aktivieren, erstellt Aurora DSQL einen eindeutigen Clusterschlüssel. Es sendet eine GenerateDataKey Anfrage an AWS KMS , die den AWS KMS key für den Cluster spezifiziert.

Das Ereignis, das die GenerateDataKey-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist das Aurora DSQL-Dienstkonto. Zu den Parametern gehören der Amazon-Ressourcenname (ARN) von AWS KMS key, ein Schlüsselspezifizierer, für den ein 256-Bit-Schlüssel erforderlich ist, und der Verschlüsselungskontext, der den Cluster identifiziert.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "dsql.amazonaws.com"
    },
    "eventTime": "2025-05-16T18:41:24Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "dsql.amazonaws.com",
    "userAgent": "dsql.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:dsql:ClusterId": "w4abucpbwuxx"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
    },
    "responseElements": null,
    "requestID": "2da2dc32-d3f4-4d6c-8a41-aff27cd9a733",
    "eventID": "426df0a6-ba56-3244-9337-438411f826f4",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "f88e0dd8-6057-4ce0-b77d-800448426d4e",
    "vpcEndpointId": "AWS Internal",
    "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
    "eventCategory": "Management"
}

Wenn Sie auf einen verschlüsselten Aurora DSQL-Cluster zugreifen, muss Aurora DSQL den Clusterschlüssel entschlüsseln, damit es die Schlüssel entschlüsseln kann, die sich in der Hierarchie darunter befinden. Anschließend werden die Daten im Cluster entschlüsselt. Um den Clusterschlüssel zu entschlüsseln, sendet Aurora DSQL eine Decrypt Anfrage an AWS KMS , die den AWS KMS key für den Cluster spezifiziert.

Das Ereignis, das die Decrypt-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist Ihr Hauptbenutzer AWS-Konto , der auf den Cluster zugreift. Zu den Parametern gehören der verschlüsselte Clusterschlüssel (als Chiffretext-Blob) und der Verschlüsselungskontext, der den Cluster identifiziert. AWS KMS leitet die ID von aus dem Chiffretext ab. AWS KMS key 

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AWSService",
    "invokedBy": "dsql.amazonaws.com"
  },
  "eventTime": "2018-02-14T16:42:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "dsql.amazonaws.com",
  "userAgent": "dsql.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "encryptionContext": {
      "aws:dsql:ClusterId": "w4abucpbwuxx"
    },
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "11cab293-11a6-11e8-8386-13160d3e5db5",
  "eventID": "b7d16574-e887-4b5b-a064-bf92f8ec9ad3",
  "readOnly": true,
  "resources": [
    {
      "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "accountId": "AWS Internal",
      "type": "AWS::KMS::Key"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "sharedEventID": "d99f2dc5-b576-45b6-aa1d-3a3822edbeeb",
  "vpcEndpointId": "AWS Internal",
  "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
  "eventCategory": "Management"
}

Einen verschlüsselten Aurora DSQL-Cluster erstellen

Alle Aurora DSQL-Cluster sind im Ruhezustand verschlüsselt. Standardmäßig verwenden Cluster einen kostenlosen AWS-eigener Schlüssel Schlüssel, oder Sie können einen benutzerdefinierten AWS KMS Schlüssel angeben. Gehen Sie wie folgt vor, um Ihren verschlüsselten Cluster entweder aus dem AWS Management Console oder dem zu erstellen AWS CLI.

Console
Um einen verschlüsselten Cluster im zu erstellen AWS Management Console

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Aurora DSQL-Konsole unter https://console.aws.amazon.com/dsql/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole Clusters aus.

  3. Wählen Sie oben rechts „Cluster erstellen“ und wählen Sie „Einzelne Region“ aus.

  4. Wählen Sie in den Einstellungen für die Cluster-Verschlüsselung eine der folgenden Optionen aus.

    • Akzeptieren Sie die Standardeinstellungen für die Verschlüsselung ohne zusätzliche AWS-eigener Schlüssel Kosten.

    • Wählen Sie Verschlüsselungseinstellungen anpassen (erweitert), um einen benutzerdefinierten KMS-Schlüssel anzugeben. Suchen Sie dann nach der ID oder dem Alias Ihres KMS-Schlüssels oder geben Sie ihn ein. Wählen Sie alternativ Create an AWS KMS Key aus, um einen neuen Schlüssel in der AWS KMS Konsole zu erstellen.

  5. Wählen Sie Cluster erstellen.

Um den Verschlüsselungstyp für Ihren Cluster zu bestätigen, navigieren Sie zur Seite Cluster und wählen Sie die ID des Clusters aus, um die Cluster-Details anzuzeigen. Überprüfen Sie die Registerkarte Cluster-Einstellungen. Die Cluster-KMS-Schlüsseleinstellung zeigt den Aurora DSQL-Standardschlüssel für Cluster, die AWS eigene Schlüssel verwenden, oder die Schlüssel-ID für andere Verschlüsselungstypen.

Anmerkung

Wenn Sie Ihren eigenen Schlüssel besitzen und verwalten möchten, stellen Sie sicher, dass Sie die KMS-Schlüsselrichtlinie entsprechend festlegen. Beispiele und weitere Informationen finden Sie unterSchlüsselrichtlinie für einen kundenverwalteten Schlüssel.

CLI
So erstellen Sie einen Cluster, der mit dem Standard verschlüsselt ist AWS-eigener Schlüssel

  • Verwenden Sie den folgenden Befehl, um einen Aurora DSQL-Cluster zu erstellen.

    aws dsql create-cluster

Wie in den folgenden Verschlüsselungsdetails gezeigt, ist der Verschlüsselungsstatus für den Cluster standardmäßig aktiviert, und der Standardverschlüsselungstyp ist AWS-eigener Schlüssel. Der Cluster ist jetzt mit dem standardmäßigen AWS-eigenen Schlüssel im Aurora DSQL-Servicekonto verschlüsselt.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}
Um einen Cluster zu erstellen, der mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt ist

  • Verwenden Sie den folgenden Befehl, um einen Aurora DSQL-Cluster zu erstellen. Ersetzen Sie dabei die Schlüssel-ID in rotem Text durch die ID Ihres vom Kunden verwalteten Schlüssels.

    aws dsql create-cluster \
--kms-encryption-key d41d8cd98f00b204e9800998ecf8427e

Wie in den folgenden Verschlüsselungsdetails gezeigt, ist der Verschlüsselungsstatus für den Cluster standardmäßig aktiviert, und der Verschlüsselungstyp ist vom Kunden verwalteter KMS-Schlüssel. Der Cluster ist jetzt mit Ihrem Schlüssel verschlüsselt.

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:kms:us-east-1:111122223333:key/d41d8cd98f00b204e9800998ecf8427e",
  "encryptionStatus" : "ENABLED"
}

Einen Schlüssel für Ihren Aurora DSQL-Cluster entfernen oder aktualisieren

Sie können das AWS Management Console oder das verwenden AWS CLI , um die Verschlüsselungsschlüssel auf vorhandenen Clustern in Amazon Aurora DSQL zu aktualisieren oder zu entfernen. Wenn Sie einen Schlüssel entfernen, ohne ihn zu ersetzen, verwendet Aurora DSQL den Standard AWS-eigener Schlüssel. Gehen Sie wie folgt vor, um die Verschlüsselungsschlüssel eines vorhandenen Clusters über die Aurora DSQL-Konsole oder die AWS CLI zu aktualisieren.

Console
Um einen Verschlüsselungsschlüssel zu aktualisieren oder zu entfernen in AWS Management Console

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Aurora DSQL-Konsole unter https://console.aws.amazon.com/dsql/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole Clusters aus.

  3. Suchen Sie in der Listenansicht die Zeile des Clusters, den Sie aktualisieren möchten, und wählen Sie sie aus.

  4. Wählen Sie das Menü Aktionen aus und klicken Sie dann auf Ändern.

  5. Wählen Sie in den Cluster-Verschlüsselungseinstellungen eine der folgenden Optionen, um Ihre Verschlüsselungseinstellungen zu ändern.

    • Wenn Sie von einem benutzerdefinierten Schlüssel zu einem wechseln möchten AWS-eigener Schlüssel, deaktivieren Sie die Option Verschlüsselungseinstellungen anpassen (erweitert). Die Standardeinstellungen werden angewendet und Ihr Cluster wird kostenlos verschlüsselt. AWS-eigener Schlüssel

    • Wenn Sie von einem benutzerdefinierten KMS-Schlüssel zu einem anderen oder von einem AWS-eigener Schlüssel zu einem KMS-Schlüssel wechseln möchten, wählen Sie die Option Verschlüsselungseinstellungen anpassen (erweitert), sofern sie nicht bereits ausgewählt ist. Suchen Sie dann nach der ID oder dem Alias des Schlüssels, den Sie verwenden möchten, und wählen Sie sie aus. Wählen Sie alternativ Create an AWS KMS Key, um einen neuen Schlüssel in der AWS KMS Konsole zu erstellen.

  6. Wählen Sie Speichern.

CLI

Die folgenden Beispiele zeigen, wie Sie den verwenden AWS CLI , um einen verschlüsselten Cluster zu aktualisieren.

Um einen verschlüsselten Cluster mit der Standardeinstellung zu aktualisieren AWS-eigener Schlüssel


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key "AWS_OWNED_KMS_KEY"

Der EncryptionStatus Wert der Clusterbeschreibung ist auf gesetzt ENABLED und der EncryptionType istAWS_OWNED_KMS_KEY.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}

Dieser Cluster ist jetzt mit der Standardeinstellung AWS-eigener Schlüssel im Aurora DSQL-Dienstkonto verschlüsselt.

Um einen verschlüsselten Cluster mit einem vom Kunden verwalteten Schlüssel für Aurora DSQL zu aktualisieren

Aktualisieren Sie den verschlüsselten Cluster wie im folgenden Beispiel:


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234

Die EncryptionStatus Clusterbeschreibung geht über zu UPDATING und die EncryptionType istCUSTOMER_MANAGED_KMS_KEY. Nachdem Aurora DSQL die Verbreitung des neuen Schlüssels über die Plattform abgeschlossen hat, wird der Verschlüsselungsstatus auf geändert ENABLED

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:us-east-1:kms:key/abcd1234-abcd-1234-a123-ab1234a1b234",
  "encryptionStatus" : "ENABLED"
}
Anmerkung

Wenn Sie sich dafür entscheiden, Ihren eigenen Schlüssel zu besitzen und zu verwalten, stellen Sie sicher, dass Sie die KMS-Schlüsselrichtlinie entsprechend festlegen. Beispiele und weitere Informationen finden Sie unterSchlüsselrichtlinie für einen kundenverwalteten Schlüssel.

Überlegungen zur Verschlüsselung mit Aurora DSQL

  • Aurora DSQL verschlüsselt alle Clusterdaten im Ruhezustand. Sie können diese Verschlüsselung nicht deaktivieren oder nur einige Elemente in einem Cluster verschlüsseln.

  • AWS Backup verschlüsselt Ihre Backups und alle Cluster, die aus diesen Backups wiederhergestellt wurden. Sie können Ihre Backup-Daten entweder AWS Backup mit dem AWS eigenen Schlüssel oder mit einem vom Kunden verwalteten Schlüssel verschlüsseln.

  • Die folgenden Datenschutzstatus sind für Aurora DSQL aktiviert:

    • Daten im Ruhezustand — Aurora DSQL verschlüsselt alle statischen Daten auf persistenten Speichermedien

    • Daten während der Übertragung — Aurora DSQL verschlüsselt die gesamte Kommunikation standardmäßig mit Transport Layer Security (TLS)

  • Wenn Sie zu einem anderen Schlüssel wechseln, empfehlen wir, den ursprünglichen Schlüssel aktiviert zu lassen, bis der Übergang abgeschlossen ist. AWS benötigt den Originalschlüssel zum Entschlüsseln von Daten, bevor Ihre Daten mit dem neuen Schlüssel verschlüsselt werden. Der Vorgang ist abgeschlossen, wenn der Cluster aktiviert encryptionStatus ist ENABLED und Sie den vom kmsKeyArn neuen Kunden verwalteten Schlüssel sehen.

  • Wenn Sie Ihren vom Kunden verwalteten Schlüssel deaktivieren oder Aurora DSQL den Zugriff auf die Verwendung Ihres Schlüssels entziehen, wechselt Ihr Cluster in den IDLE Status.

  • Die DSQL-API AWS Management Console und die Amazon Aurora DSQL API verwenden unterschiedliche Begriffe für Verschlüsselungstypen:

    • AWS Konsole — In der Konsole sehen Sie, KMS wann Sie einen vom Kunden verwalteten Schlüssel verwenden und DEFAULT wann Sie einen AWS-eigener Schlüssel verwenden.

    • API — Die Amazon Aurora DSQL API verwendet CUSTOMER_MANAGED_KMS_KEY für vom Kunden verwaltete Schlüssel und AWS_OWNED_KMS_KEY für AWS-eigene Schlüssel.

  • Wenn Sie bei der Clustererstellung keinen Verschlüsselungsschlüssel angeben, verschlüsselt Aurora DSQL Ihre Daten automatisch mit dem. AWS-eigener Schlüssel

  • Sie können jederzeit zwischen einem AWS-eigener Schlüssel und einem vom Kunden verwalteten Schlüssel wechseln. Nehmen Sie diese Änderung mithilfe der AWS Management Console AWS CLI, oder der Amazon Aurora SQL API vor.