Datenverschlüsselung für Amazon Aurora DSQL - Amazon Aurora DSQL
KMS-SchlüsseltypenVerschlüsselung im RuhezustandVerwenden von KMS und DatenschlüsselnAutorisieren Ihres KMS-SchlüsselsVerschlüsselungskontextÜberwachung AWS KMSEinen verschlüsselten Cluster erstellenEinen Schlüssel entfernen oder aktualisierenÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung für Amazon Aurora DSQL

Amazon Aurora DSQL verschlüsselt alle Benutzerdaten im Ruhezustand. Diese Verschlüsselung verwendet AWS Key Management Service (AWS KMS) für erhöhte Sicherheit. Diese Funktionalität trägt zur Verringerung des Betriebsaufwands und der Komplexität bei, die mit dem Schutz sensibler Daten einhergeht. Verschlüsselung im Ruhezustand:

  • Reduzierung des betrieblichen Aufwands, der durch den Schutz sensibler Daten entsteht

  • Aufbau sicherheitsrelevanter Anwendungen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen

  • Hinzufügung einer zusätzlichen Datenschutzebene, wodurch Ihre Daten immer in einem verschlüsselten Cluster gesichert sind

  • Einhaltung aller Unternehmensrichtlinien, Branchen- oder behördliche Vorschriften sowie Compliance-Anforderungen

Mit Aurora DSQL können Sie sicherheitsrelevante Anwendungen erstellen, die eine strenge Einhaltung der Verschlüsselungsvorschriften und der gesetzlichen Bestimmungen garantieren. In den folgenden Abschnitten wird erklärt, wie Sie die Verschlüsselung für neue und bestehende Aurora DSQL-Datenbanken konfigurieren und Ihre Verschlüsselungsschlüssel verwalten.

KMS-Schlüsseltypen für Aurora DSQL

Aurora DSQL lässt sich integrieren AWS KMS , um die Verschlüsselungsschlüssel für Ihre Cluster zu verwalten. Weitere Informationen zu Schlüsseltypen und -zustände finden Sie unter AWS Key Management Service Konzepte im AWS Key Management Service Entwicklerhandbuch. Wenn Sie einen neuen Cluster erstellen, können Sie für Ihre Clusterverschlüsselung aus den folgenden KMS-Schlüsseltypen wählen:

AWS-eigener Schlüssel

Standardverschlüsselungstyp. Aurora DSQL besitzt den Schlüssel ohne zusätzliche Kosten für Sie. Amazon Aurora DSQL entschlüsselt Cluster-Daten transparent, wenn Sie auf einen verschlüsselten Cluster zugreifen. Es ist kein Code- oder Anwendungswechsel nötig, um verschlüsselte Cluster zu verwenden oder zu verwalten. Alle Aurora DSQL-Abfragen funktionieren mit Ihren verschlüsselten Daten.

Kundenseitig verwalteter Schlüssel

Sie erstellen, besitzen und verwalten den Schlüssel in Ihrem AWS-Konto. Sie haben die volle Kontrolle über den KMS-Schlüssel. AWS KMS Es fallen Gebühren an.

Die Verschlüsselung im Ruhezustand mit der AWS-eigener Schlüssel ist ohne zusätzliche Kosten verfügbar. Für vom Kunden verwaltete Schlüssel fallen jedoch AWS KMS Gebühren an. Weitere Informationen finden Sie in der AWS KMS-Preisliste.

Sie können jederzeit zwischen diesen Schlüsseltypen wechseln. Weitere Informationen zu Schlüsseltypen finden Sie unter Kundenseitig verwaltete Schlüssel und AWS-eigene Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

Anmerkung

Aurora DSQL Encryption at Rest ist in allen AWS Regionen verfügbar, in denen Aurora DSQL verfügbar ist.

Verschlüsselung im Ruhezustand in Aurora DSQL

Amazon Aurora DSQL verwendet den 256-Bit Advanced Encryption Standard (AES-256) zur Verschlüsselung Ihrer Daten im Ruhezustand. Diese Verschlüsselung schützt Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher. AWS KMS verwaltet die Verschlüsselungsschlüssel für Ihre Cluster. Sie können die standardmäßigen AWS-eigene Schlüssel verwenden, oder aber Ihre eigenen AWS KMS -Kundenseitig verwaltete Schlüssel auswählen. Weitere Informationen zur Festlegung und Verwaltung von Schlüsseln für Ihre Aurora DSQL-Cluster finden Sie unter Erstellen eines verschlüsselten Aurora DSQL-Clusters und Entfernen oder Aktualisieren eines Schlüssels für Ihren Aurora DSQL-Cluster.

AWS-eigene Schlüssel

Aurora DSQL verschlüsselt standardmäßig alle Cluster mit. AWS-eigene Schlüssel Diese Schlüssel können kostenlos verwendet werden und werden jährlich gewechselt, um Ihre Kontoressourcen zu schützen. Sie müssen diese Schlüssel nicht einsehen, verwalten, verwenden oder prüfen, sodass keine Maßnahmen für den Datenschutz erforderlich werden. Weitere Informationen zu AWS-eigene Schlüssel finden Sie AWS-eigene Schlüsselim AWS Key Management Service Entwicklerhandbuch.

Kundenseitig verwaltete Schlüssel

Kundenseitig verwaltete Schlüssel erstellen, besitzen und verwalten Sie über Ihr AWS-Konto. Sie haben die vollständige Kontrolle über diese KMS-Schlüssel, einschließlich ihrer Richtlinien, Verschlüsselungsmaterialien, Tags und Aliasse. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

Wenn Sie einen kundenseitig verwalteten Schlüssel für die Verschlüsselung auf Clusterebene angeben, verschlüsselt Aurora DSQL den Cluster und alle seine regionalen Daten mit diesem Schlüssel. Um Datenverlust zu verhindern und den Cluster-Zugriff aufrechtzuerhalten, benötigt Aurora DSQL Zugriff auf Ihren Verschlüsselungsschlüssel. Wenn Sie Ihren kundenseitig verwalteten Schlüssel deaktivieren, Ihren Schlüssel für die Löschung planen oder eine Richtlinie festgelegt haben, die Ihren Servicezugriff einschränkt, ändert sich der Verschlüsselungsstatus für Ihren Cluster auf KMS_KEY_INACCESSIBLE. Wenn Aurora DSQL nicht auf den Schlüssel zugreifen kann, können Benutzer keine Verbindung zum Cluster herstellen. Der Verschlüsselungsstatus für den Cluster ändert sich auf KMS_KEY_INACCESSIBLE und der Service verliert den Zugriff auf die Clusterdaten.

Bei Clustern mit mehreren Regionen können Kunden den AWS KMS Verschlüsselungsschlüssel jeder Region separat konfigurieren, und jeder regionale Cluster verwendet seinen eigenen Verschlüsselungsschlüssel auf Clusterebene. Wenn Aurora DSQL nicht auf den Verschlüsselungsschlüssel für einen Peer in einem Cluster mit mehreren Regionen zugreifen kann, wird der Status für diesen Peer auf KMS_KEY_INACCESSIBLE gesetzt, wodurch er nicht mehr für Lese- und Schreibvorgänge verfügbar ist. Andere Peers setzen den normalen Betrieb fort.

Anmerkung

Wenn Aurora DSQL nicht auf Ihren kundenseitig verwalteten Schlüssel zugreifen kann, ändert sich Ihr Cluster-Verschlüsselungsstatus auf KMS_KEY_INACCESSIBLE. Nachdem Sie den Schlüsselzugriff wiederhergestellt haben, erkennt der Dienst die Wiederherstellung automatisch innerhalb von 15 Minuten. Weitere Informationen finden Sie unter Clusterleerlauf.

Wenn bei Clustern mit mehreren Regionen der Schlüsselzugriff über einen längeren Zeitraum verloren geht, hängt die Cluster-Wiederherstellungszeit davon ab, wie viele Daten geschrieben wurden, während auf den Schlüssel nicht zugegriffen werden konnte.

Verwendung AWS KMS und Datenschlüssel mit Aurora DSQL

Die Aurora-DSQL-Verschlüsselung im Ruhezustand verwendet eine AWS KMS key und eine Hierarchie von Datenschlüsseln, um Ihre Clusterdaten zu schützen.

Wir empfehlen, Ihre Verschlüsselungsstrategie im Voraus zu planen, bevor Sie Ihren Cluster in Aurora DSQL implementieren. Wenn Sie sensible oder vertrauliche Daten in Aurora DSQL speichern, sollten Sie erwägen, eine clientseitige Verschlüsselung in Ihren Plan aufzunehmen. Auf diese Weise können Sie Daten so nah wie möglich an ihrem Ursprung verschlüsseln und den Schutz der Daten während ihres gesamten Lebenszyklus gewährleisten.

Verwenden von AWS KMS key s mit Aurora DSQL

Die Verschlüsselung im Ruhezustand schützt Ihren Aurora DSQL-Cluster unter einem AWS KMS key. Standardmäßig verwendet Aurora DSQL einen Mehrmandanten-Verschlüsselungsschlüssel AWS-eigener Schlüssel, der in einem Aurora DSQL-Dienstkonto erstellt und verwaltet wird. Sie können Ihre Aurora DSQL-Cluster jedoch unter einem kundenseitig verwalteten Schlüssel in Ihrem AWS-Konto verschlüsseln. Für jeden Cluster können Sie einen anderen KMS-Schlüssel auswählen, auch wenn dieser an einer multiregionalen Konfiguration beteiligt ist.

Den KMS-Schlüssel für ein Cluster wählen Sie beim Erstellen oder Aktualisieren des Clusters aus. Sie können den KMS-Schlüssel für ein Cluster jederzeit entweder in der Aurora DSQL-Konsole oder mithilfe der UpdateCluster-Operation ändern. Der Vorgang des Schlüsselwechsels ist nahtlos und erfolgt ohne Ausfallzeiten oder Servicebeeinträchtigung.

Wichtig

Aurora DSQL unterstützt ausschließlich symmetrische KMS-Schlüssel. Ein asymmetrischer KMS-Schlüssel kann nicht zum Verschlüsseln Ihrer Aurora DSQL-Cluster verwendet werden.

Ein kundenseitig verwalteter Schlüssel bietet die folgenden Vorteile:

  • Sie erstellen und verwalten den KMS-Schlüssel selbst, einschließlich der Einstellung der Schlüsselrichtlinien und IAM-Richtlinien, um den Zugriff auf den KMS-Schlüssel zu steuern. Sie können den KMS-Schlüssel aktivieren und deaktivieren, die automatische Schlüsseldrehung aktivieren und deaktivieren und den KMS-Schlüssel löschen, wenn er nicht mehr verwendet wird.

  • Sie können einen kundenseitig verwalteten Schlüssel mit importiertem Schlüsselmaterial oder einen kundenverwalteten Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, den Sie besitzen und verwalten.

  • Sie können die Verschlüsselung und Entschlüsselung Ihres Aurora DSQL-Clusters überprüfen, indem Sie die Aurora-DSQL-API-Aufrufe in den Protokollen untersuchen. AWS KMS AWS CloudTrail

Sie AWS-eigener Schlüssel ist jedoch kostenlos und ihre Nutzung wird nicht auf die AWS KMS Ressourcen- oder Anforderungskontingente angerechnet. Für kundenseitig verwaltete Schlüssel fällt bei jedem API-Aufruf eine Gebühr an, und die AWS KMS -Kontingente gelten für diese Schlüssel.

Clusterschlüssel mit Aurora DSQL verwenden

Aurora DSQL verwendet den AWS KMS key für den Cluster, um einen eindeutigen Datenschlüssel für den Cluster, den so genannten Clusterschlüssel, zu generieren und zu verschlüsseln.

Der Clusterschlüssel wird als Schlüssel für den Verschlüsselungsschlüssel verwendet. Aurora DSQL verwendet diesen Clusterschlüssel zum Schutz von Datenverschlüsselungsschlüsseln, die wiederum zum Verschlüsseln der Clusterdaten verwendet werden. Aurora DSQL generiert für jede zugrunde liegende Struktur in einem Cluster einen eindeutigen Datenverschlüsselungsschlüssel, wobei mehrere Clusterelemente durch denselben Schlüssel geschützt sein können.

Um den Clusterschlüssel zu entschlüsseln, sendet Aurora DSQL eine Anfrage an, AWS KMS wenn Sie zum ersten Mal auf einen verschlüsselten Cluster zugreifen. Um die Verfügbarkeit des Clusters sicherzustellen, überprüft Aurora DSQL regelmäßig den Entschlüsselungszugriff auf den KMS-Schlüssel – auch wenn Sie gerade nicht aktiv auf den Cluster zugreifen.

Aurora DSQL speichert und verwendet den Clusterschlüssel und die Datenverschlüsselungsschlüssel außerhalb von AWS KMS. Alle Schlüssel werden mit Advanced Encryption Standard (AES)-Verschlüsselung und 256-Bit-Verschlüsselungsschlüsseln geschützt. Anschließend werden die verschlüsselten Schlüssel zusammen mit den verschlüsselten Daten gespeichert, damit sie on-demand für die Entschlüsselung der Clusterdaten verfügbar sind.

Wenn Sie den KMS-Schlüssel für Ihren Cluster ändern, verschlüsselt Aurora DSQL den vorhandenen Clusterschlüssel erneut mit dem neuen KMS-Schlüssel.

Clusterschlüssel-Caching

Um zu vermeiden, dass jede Aurora-DSQL-Operation aufgerufen AWS KMS wird, speichert Aurora DSQL die Klartext-Clusterschlüssel für jeden Aufrufer im Speicher zwischen. Wenn Aurora DSQL nach 15 Minuten Inaktivität eine Anfrage für den zwischengespeicherten Clusterschlüssel erhält, sendet es eine neue Anfrage an, um den Clusterschlüssel AWS KMS zu entschlüsseln. Dieser Aufruf erfasst alle Änderungen, die nach der letzten Anfrage zur Entschlüsselung des AWS KMS key Clusterschlüssels an den Zugriffsrichtlinien von In AWS KMS oder AWS Identity and Access Management (IAM) vorgenommen wurden.

Autorisieren der Verwendung Ihres AWS KMS key für Aurora DSQL

Wenn Sie einen kundenseitig verwalteten Schlüssel in Ihrem Konto zum Schutz Ihres Aurora DSQL-Clusters verwenden, müssen die Richtlinien dieses Schlüssels Aurora DSQL die Berechtigung erteilen, ihn in Ihrem Namen zu verwenden.

Sie haben die vollständige Kontrolle über die Richtlinien eines kundenseitig verwalteten Schlüssels. Aurora DSQL benötigt keine zusätzliche Autorisierung, um die Standardeinstellung AWS-eigener Schlüssel zum Schutz der Aurora DSQL-Cluster in Ihrem zu verwenden. AWS-Konto

Schlüsselrichtlinie für einen kundenseitig verwalteten Schlüssel

Wenn Sie einen vom AWS KMS key Kunden verwalteten Schlüssel zum Schutz eines Aurora DSQL-Clusters auswählen, benötigt Aurora DSQL die Erlaubnis, den im Namen des Prinzipals zu verwenden, der die Auswahl trifft. Dieser Prinzipal, ein Benutzer oder eine Rolle, muss über die Berechtigungen verfügen AWS KMS key , die Aurora DSQL benötigt. Sie können diese Berechtigungen in einer Schlüsselrichtlinie oder einer IAM-Richtlinie bereitstellen.

Als Minimum benötigt Aurora DSQL die folgenden Berechtigungen für einen kundenseitig verwalteten Schlüssel:

  • kms:Encrypt

  • kms:Decrypt

  • kms:ReEncrypt*(für kms: ReEncryptFrom und kms:ReEncryptTo)

  • kms:GenerateDataKey

  • kms:DescribeKey

Beispielsweise bietet die folgende Beispiel-Schlüsselrichtlinie nur die erforderlichen Berechtigungen. Die Richtlinie hat folgende Auswirkungen:

  • Ermöglicht Aurora DSQL die Verwendung von AWS KMS key in kryptografischen Vorgängen, jedoch nur, wenn es im Namen von Prinzipalen im Konto handelt, die die Erlaubnis haben, Aurora DSQL zu verwenden. Falls die in der Richtlinienerklärung angegebenen Prinzipalen keine Berechtigung zur Nutzung von Aurora DSQL haben, schlägt der Aufruf fehl – selbst wenn er vom Aurora DSQL-Service stammt.

  • Der Bedingungsschlüssel kms:ViaService erlaubt die Berechtigungen nur, wenn die Anforderung im Auftrag der in der Richtlinienanweisung aufgeführten Prinzipale von Aurora DSQL stammt. Diese Prinzipale können diese Operationen nicht direkt aufrufen.

  • Gewährt den AWS KMS key Administratoren (Benutzern, die die db-team Rolle übernehmen können) schreibgeschützten Zugriff auf AWS KMS key

Bevor Sie ein Beispiel für eine Schlüsselrichtlinie verwenden, ersetzen Sie die Beispielprinzipale durch tatsächliche Prinzipale aus Ihrem. AWS-Konto

{
  "Sid": "Enable dsql IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey",
    "kms:Encrypt",
    "kms:ReEncryptFrom",
    "kms:ReEncryptTo"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:dsql:ClusterId": "w4abucpbwuxx",
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
},
{
  "Sid": "Enable dsql IAM User Describe Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
}

Aurora DSQL Verschlüsselungskontext

Ein Verschlüsselungskontext ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anfrage zur Verschlüsselung von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.

Aurora DSQL verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Wenn Sie einen vom Kunden verwalteten Schlüssel zum Schutz Ihres Aurora DSQL-Clusters verwenden, können Sie den Verschlüsselungskontext verwenden, um die Verwendung des AWS KMS key in Auditaufzeichnungen und Protokollen zu identifizieren. Er erscheint auch im Klartext in Protokollen wie denen von AWS CloudTrail.

Der Verschlüsselungskontext kann außerdem als Bedingung für die Autorisierung in Richtlinien verwendet werden.

In seinen Anfragen an AWS KMS verwendet Aurora DSQL einen Verschlüsselungskontext mit einem Schlüssel-Wert-Paar:


"encryptionContext": {
  "aws:dsql:ClusterId": "w4abucpbwuxx"
},

Das Schlüssel-Wert-Paar identifiziert den Cluster, den Aurora DSQL verschlüsselt. Der Schlüssel lautet aws:dsql:ClusterId. Dieser Wert ist die ID des Clusters.

Überwachen der Aurora DSQL-Interaktion mit AWS KMS

Wenn Sie einen vom Kunden verwalteten Schlüssel zum Schutz Ihrer Aurora DSQL-Cluster verwenden, können Sie AWS CloudTrail Protokolle verwenden, um die Anfragen zu verfolgen, an die Aurora DSQL in AWS KMS Ihrem Namen sendet.

Erweitern Sie die folgenden Abschnitte, um zu erfahren, wie Aurora DSQL die AWS KMS Operationen GenerateDataKey und Decrypt verwendet.

Wenn Sie die Verschlüsselung im Ruhezustand auf einem Cluster aktivieren, erstellt Aurora DSQL einen eindeutigen Clusterschlüssel. Es sendet eine GenerateDataKey Anfrage an AWS KMS , die den AWS KMS key für den Cluster spezifiziert.

Das Ereignis, das die GenerateDataKey-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist das Aurora DSQL-Servicekonto. Zu den Parametern gehören der Amazon-Ressourcenname (ARN) von AWS KMS key, ein Schlüsselspezifizierer, für den ein 256-Bit-Schlüssel erforderlich ist, und der Verschlüsselungskontext, der den Cluster identifiziert.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "dsql.amazonaws.com"
    },
    "eventTime": "2025-05-16T18:41:24Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "dsql.amazonaws.com",
    "userAgent": "dsql.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:dsql:ClusterId": "w4abucpbwuxx"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
    },
    "responseElements": null,
    "requestID": "2da2dc32-d3f4-4d6c-8a41-aff27cd9a733",
    "eventID": "426df0a6-ba56-3244-9337-438411f826f4",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "f88e0dd8-6057-4ce0-b77d-800448426d4e",
    "vpcEndpointId": "AWS Internal",
    "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
    "eventCategory": "Management"
}

Wenn Sie auf einen verschlüsselten Aurora DSQL-Cluster zugreifen, muss Aurora DSQL den Clusterschlüssel entschlüsseln, um die darunterliegenden Schlüssel in der Hierarchie entschlüsseln zu können. Anschließend werden die Daten im Cluster entschlüsselt. Um den Clusterschlüssel zu entschlüsseln, sendet Aurora DSQL eine Decrypt Anfrage an AWS KMS , die den AWS KMS key für den Cluster spezifiziert.

Das Ereignis, das die Decrypt-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist Ihr Hauptbenutzer AWS-Konto , der auf den Cluster zugreift. Zu den Parametern gehören der verschlüsselte Clusterschlüssel (als Chiffretext-Blob) und der Verschlüsselungskontext, der den Cluster identifiziert. AWS KMS leitet die ID von aus dem Chiffretext ab. AWS KMS key 

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AWSService",
    "invokedBy": "dsql.amazonaws.com"
  },
  "eventTime": "2018-02-14T16:42:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "dsql.amazonaws.com",
  "userAgent": "dsql.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "encryptionContext": {
      "aws:dsql:ClusterId": "w4abucpbwuxx"
    },
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "11cab293-11a6-11e8-8386-13160d3e5db5",
  "eventID": "b7d16574-e887-4b5b-a064-bf92f8ec9ad3",
  "readOnly": true,
  "resources": [
    {
      "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "accountId": "AWS Internal",
      "type": "AWS::KMS::Key"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "sharedEventID": "d99f2dc5-b576-45b6-aa1d-3a3822edbeeb",
  "vpcEndpointId": "AWS Internal",
  "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
  "eventCategory": "Management"
}

Erstellen eines verschlüsselten Aurora DSQL-Clusters

Alle Aurora DSQL-Cluster sind im Ruhezustand verschlüsselt. Standardmäßig verwenden Cluster einen, AWS-eigener Schlüssel der kostenlos ist, oder Sie können einen benutzerdefinierten Schlüssel angeben. AWS KMS Gehen Sie wie folgt vor, um Ihren verschlüsselten Cluster entweder aus dem AWS-Managementkonsole oder dem zu erstellen AWS CLI.

Console
Um einen verschlüsselten Cluster im zu erstellen AWS-Managementkonsole

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Aurora DSQL-Konsole unter https://console.aws.amazon.com/dsql/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole die Option Cluster aus.

  3. Klicken Sie oben rechts auf Cluster erstellen und wählen Sie dann Einzelne Region aus.

  4. Wählen Sie in den Cluster-Verschlüsselungseinstellungen eine der folgenden Optionen aus.

    • Akzeptieren Sie die Standardeinstellungen für die Verschlüsselung ohne zusätzliche AWS-eigener Schlüssel Kosten.

    • Wählen Sie Verschlüsselungseinstellungen anpassen (erweitert) aus, um einen benutzerdefinierten KMS-Schlüssel anzugeben. Suchen Sie dann nach der ID oder dem Alias Ihres KMS-Schlüssels oder geben Sie ihn ein. Wählen Sie alternativ Create an AWS KMS Key, um einen neuen Schlüssel in der AWS KMS Konsole zu erstellen.

  5. Wählen Sie Cluster erstellen.

Um den Verschlüsselungstyp Ihres Clusters zu bestätigen, navigieren Sie zur Seite Cluster und wählen Sie dort die ID des Clusters aus, um dessen Details anzuzeigen. Überprüfen Sie die Registerkarte Cluster-Einstellungen. Die Cluster-KMS-Schlüsseleinstellung zeigt den Aurora DSQL-Standardschlüssel für Cluster, die AWS eigene Schlüssel verwenden, oder die Schlüssel-ID für andere Verschlüsselungstypen.

Anmerkung

Wenn Sie einen eigenen Schlüssel besitzen und verwalten möchten, stellen Sie sicher, dass Sie die KMS-Schlüsselrichtlinie entsprechend festlegen. Beispiele und weitere Informationen finden Sie unter Schlüsselrichtlinie für einen kundenseitig verwalteten Schlüssel.

CLI
Um einen Cluster zu erstellen, der mit dem Standard verschlüsselt ist AWS-eigener Schlüssel

  • Verwenden Sie den folgenden Befehl, um einen Aurora DSQL-Cluster zu erstellen:

    aws dsql create-cluster

Wie in den folgenden Verschlüsselungsdetails dargestellt, ist die Verschlüsselung für den Cluster standardmäßig aktiviert, und der voreingestellte Verschlüsselungstyp ist ein von AWS verwalteter Schlüssel. Der Cluster ist nun mit dem standardmäßigen AWS-Schlüssel im Aurora DSQL-Servicekonto verschlüsselt.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}
So erstellen Sie einen mit Ihrem kundenseitig verwalteten Schlüssel verschlüsselten Cluster

  • Verwenden Sie den folgenden Befehl, um einen Aurora DSQL-Cluster zu erstellen, und ersetzen Sie die rot markierte Schlüssel-ID durch die ID Ihres kundenseitig verwalteten Schlüssels.

    aws dsql create-cluster \
--kms-encryption-key d41d8cd98f00b204e9800998ecf8427e

Wie in den folgenden Verschlüsselungsdetails dargestellt, ist die Verschlüsselung für den Cluster standardmäßig aktiviert, und der Verschlüsselungstyp ist ein kundenseitig verwalteter KMS-Schlüssel. Der Cluster ist nun mit Ihrem Schlüssel verschlüsselt.

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:kms:us-east-1:111122223333:key/d41d8cd98f00b204e9800998ecf8427e",
  "encryptionStatus" : "ENABLED"
}

Entfernen oder Aktualisieren eines Schlüssels für Ihren Aurora DSQL-Cluster

Sie können das AWS-Managementkonsole oder das verwenden AWS CLI , um die Verschlüsselungsschlüssel auf vorhandenen Clustern in Amazon Aurora DSQL zu aktualisieren oder zu entfernen. Wenn Sie einen Schlüssel entfernen, ohne ihn zu ersetzen, verwendet Aurora DSQL den Standard- AWS-eigener Schlüssel. Im Folgenden sehen Sie, wie Sie die Verschlüsselungsschlüssel eines bestehenden Clusters über die Aurora DSQL-Konsole oder die AWS CLI aktualisieren.

Console
Um einen Verschlüsselungsschlüssel zu aktualisieren oder zu entfernen in der AWS-Managementkonsole

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Aurora DSQL-Konsole unter https://console.aws.amazon.com/dsql/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole die Option Cluster aus.

  3. Suchen Sie in der Listenansicht die Zeile des Clusters, den Sie aktualisieren möchten, und wählen Sie sie aus.

  4. Klicken Sie auf das Menü Aktionen und dann auf Bearbeiten.

  5. Wählen Sie in den Cluster-Verschlüsselungseinstellungen eine der folgenden Optionen aus, um Ihre Verschlüsselungseinstellungen zu ändern.

    • Wenn Sie von einem benutzerdefinierten Schlüssel zu einem wechseln möchten AWS-eigener Schlüssel, deaktivieren Sie die Option Verschlüsselungseinstellungen anpassen (erweitert). Die Standardeinstellungen werden angewendet und Ihr Cluster wird kostenlos verschlüsselt. AWS-eigener Schlüssel

    • Wenn Sie von einem benutzerdefinierten KMS-Schlüssel zu einem anderen oder von einem AWS-eigener Schlüssel zu einem KMS-Schlüssel wechseln möchten, wählen Sie die Option Verschlüsselungseinstellungen anpassen (erweitert), falls sie nicht bereits ausgewählt ist. Suchen Sie dann nach der ID oder dem Alias des Schlüssels, den Sie verwenden möchten, und wählen Sie dies aus. Wählen Sie alternativ Create an AWS KMS Key, um einen neuen Schlüssel in der AWS KMS Konsole zu erstellen.

  6. Wählen Sie Speichern.

CLI

Die folgenden Beispiele zeigen, wie Sie mit AWS CLI dem einen verschlüsselten Cluster aktualisieren können.

Um einen verschlüsselten Cluster mit der Standardeinstellung zu aktualisieren AWS-eigener Schlüssel


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key "AWS_OWNED_KMS_KEY"

Der EncryptionStatus in der Clusterbeschreibung ist auf ENABLED gesetzt, und der EncryptionType ist AWS_OWNED_KMS_KEY.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}

Dieser Cluster ist jetzt mit der Standardeinstellung AWS-eigener Schlüssel im Aurora DSQL-Dienstkonto verschlüsselt.

So aktualisieren Sie einen verschlüsselten Cluster mit einem kundenseitig verwalteten Schlüssel für Aurora DSQL

Aktualisieren Sie den verschlüsselten Cluster wie im folgenden Beispiel gezeigt:


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234

Der EncryptionStatus in der Clusterbeschreibung wechselt zu UPDATING, und der EncryptionType ist CUSTOMER_MANAGED_KMS_KEY. Nachdem Aurora DSQL den neuen Schlüssel vollständig in der Plattform propagiert hat, wird der Verschlüsselungsstatus auf ENABLED gesetzt.

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:us-east-1:kms:key/abcd1234-abcd-1234-a123-ab1234a1b234",
  "encryptionStatus" : "ENABLED"
}
Anmerkung

Wenn Sie einen eigenen Schlüssel besitzen und verwalten möchten, stellen Sie sicher, dass Sie die KMS-Schlüsselrichtlinie entsprechend festlegen. Beispiele und weitere Informationen finden Sie unter Schlüsselrichtlinie für einen kundenseitig verwalteten Schlüssel.

Überlegungen zur Verschlüsselung mit Aurora DSQL

  • Aurora DSQL verschlüsselt alle Clusterdaten im Ruhezustand. Sie können diese Verschlüsselung nicht deaktivieren oder nur einzelne Elemente in einem Cluster verschlüsseln.

  • AWS Backup verschlüsselt Ihre Backups und alle aus diesen Backups wiederhergestellten Cluster. Sie können Ihre Backup-Daten entweder AWS Backup mit dem AWS eigenen Schlüssel oder mit einem vom Kunden verwalteten Schlüssel verschlüsseln.

  • Die folgenden Datenschutzzustände sind für Aurora DSQL aktiviert:

    • Daten im Ruhezustand — Aurora DSQL verschlüsselt alle statischen Daten auf persistenten Speichermedien

    • Daten während der Übertragung — Aurora DSQL verschlüsselt die gesamte Kommunikation standardmäßig mit Transport Layer Security (TLS)

  • Wenn Sie zu einem anderen Schlüssel wechseln, empfehlen wir, den ursprünglichen Schlüssel aktiviert zu lassen, bis der Übergang abgeschlossen ist. AWS benötigt den Originalschlüssel zum Entschlüsseln von Daten, bevor Ihre Daten mit dem neuen Schlüssel verschlüsselt werden. Der Vorgang ist abgeschlossen, wenn der encryptionStatus des Clusters auf ENABLED gesetzt ist und Sie die kmsKeyArn des neuen kundenseitig verwalteten Schlüssels sehen.

  • Wenn Sie Ihren kundenseitig verwalteten Schlüssel deaktivieren oder den Zugriff für Aurora DSQL auf Ihren Schlüssel widerrufen, wechselt Ihr Cluster in den Status IDLE.

  • Die DSQL-API AWS-Managementkonsole und die Amazon Aurora DSQL API verwenden unterschiedliche Begriffe für Verschlüsselungstypen:

    • AWS Konsole — In der Konsole sehen Sie, KMS wann Sie einen vom Kunden verwalteten Schlüssel verwenden und DEFAULT wann Sie einen AWS-eigener Schlüssel verwenden.

    • API — Die Amazon Aurora DSQL API verwendet CUSTOMER_MANAGED_KMS_KEY für kundenseitig verwaltete Schlüssel und AWS_OWNED_KMS_KEY für AWS-eigene Schlüssel.

  • Wenn Sie bei der Clustererstellung keinen Verschlüsselungsschlüssel angeben, verschlüsselt Aurora DSQL Ihre Daten automatisch mit dem. AWS-eigener Schlüssel

  • Sie können jederzeit zwischen einem AWS-eigener Schlüssel und einem vom Kunden verwalteten Schlüssel wechseln. Nehmen Sie diese Änderung mithilfe der AWS-Managementkonsole AWS CLI, oder der Amazon Aurora SQL API vor.