Establecimiento de una clave de cifrado para una instancia de replicación - AWS Database Migration Service

Establecimiento de una clave de cifrado para una instancia de replicación

AWS DMS cifra el almacenamiento utilizado por una instancia de replicación y la información de conexión del punto de conexión. Para cifrar el almacenamiento que utiliza una instancia de replicación, AWS DMS usa una AWS KMS key que es única en la cuenta de AWS. Puede ver y administrar esta clave de KMS con AWS Key Management Service (AWS KMS). Puede utilizar la clave KMS predeterminada en la cuenta (aws/dms) o crear una clave KMS. Si ya posee una clave de cifrado de AWS KMS, también la podrá utilizar para el cifrado.

Puede especificar su propia clave de cifrado suministrando un identificador de clave KMS para cifrar los recursos de AWS DMS. Cuando especifique su propia clave de cifrado, la cuenta de usuario utilizada para migrar la base de datos deberá tener acceso a ella. Para obtener más información sobre cómo crear sus propias claves de cifrado y proporcionar a los usuarios acceso a una clave de cifrado, consulte la guía para desarrolladores de AWS KMS.

Si no especifica un identificador de claves KMS, AWS DMS utiliza la clave de cifrado predeterminada. KMS crea la clave de cifrado predeterminada para AWS DMS para la cuenta de AWS. La cuenta de AWS tiene una clave de cifrado predeterminada diferente para cada región de AWS.

Para administrar las claves que se utilizan para cifrar los recursos de AWS DMS, debe utilizar AWS KMS. Puede encontrar AWS KMS en Consola de administración de AWS al buscar KMS en el panel de navegación.

AWS KMS combina hardware y software seguros de alta disponibilidad para ofrecer un sistema de administración de claves adaptado a la nube. Si utiliza AWS KMS, puede crear claves de cifrado y definir las políticas que controlan cómo se pueden utilizar dichas claves. AWS KMS es compatible con AWS CloudTrail, lo que permite auditar el uso de claves para comprobar que las claves se utilizan de forma adecuada. Las claves de AWS KMS se pueden utilizar en combinación con AWS DMS y otros servicios de AWS admitidos. Los servicios de AWS admitidos incluyen Amazon RDS, Amazon S3, Amazon Elastic Block Store (Amazon EBS) y Amazon Redshift.

Cuando haya creado los recursos de AWS DMS con una clave de cifrado específica, no podrá modificar la clave de cifrado de esos recursos. Asegúrese de determinar los requisitos de la clave de cifrado antes de crear los recursos de AWS DMS.