Habilitación del cifrado en reposo Limitaciones para clústeres cifrados

Cifrado de datos en reposo de Amazon DocumentDB

nota

AWS KMS está reemplazando el término clave maestra del cliente (CMK) por AWS KMS key y Clave KMS. El concepto no ha cambiado. Para evitar que se produzcan cambios bruscos, AWS KMS está manteniendo algunas variaciones de este término.

Puede cifrar los datos en reposo del clúster de Amazon DocumentDB especificando la opción de cifrado de almacenamiento al crear el clúster. El cifrado de almacenamiento está habilitado para todo el clúster y se aplica a todas las instancias, incluida la instancia principal y las réplicas. También se aplica al volumen de almacenamiento, los datos, los índices, los registros, las copias de seguridad automatizadas y las instantáneas del clúster.

Amazon DocumentDB utiliza el estándar de cifrado avanzado de 256 bits (AES-256) para cifrar sus datos mediante claves de cifrado almacenadas en AWS Key Management Service (AWS KMS). Si utiliza un clúster de Amazon DocumentDB con el cifrado en reposo activado, no necesita modificar la lógica de la aplicación ni la conexión del cliente. Amazon DocumentDB se encarga del cifrado y descifrado de sus datos de forma transparente con un impacto mínimo en el desempeño.

Amazon DocumentDB se integra con AWS KMS y utiliza un método conocido como cifrado de sobre para proteger sus datos. Cuando un clúster de Amazon DocumentDB se cifra con unAWS KMS, Amazon DocumentDB le pide AWS KMS que utilice su clave de KMS para generar una clave de datos de texto cifrado para cifrar el volumen de almacenamiento. La clave de datos de texto cifrado se cifra mediante la clave KMS que ha definido y se almacena junto con los datos cifrados y los metadatos de almacenamiento. Cuando Amazon DocumentDB necesita acceder a los datos cifrados, solicita a AWS KMS que descifre la clave de datos de texto cifrado utilizando su clave KMS y almacena en la memoria caché la clave de datos de texto sin formato con el fin de cifrar y descifrar de manera eficiente los datos en el volumen de almacenamiento.

La función de cifrado de almacenamiento de Amazon DocumentDB está disponible para todos los tamaños de instancias y en todas las Regiones de AWS en las que Amazon DocumentDB está disponible.

Habilitación del cifrado en reposo de un clúster de Amazon DocumentDB

Puede habilitar o deshabilitar el cifrado en reposo en un clúster de Amazon DocumentDB cuando el clúster se aprovisiona mediante la Consola de administración de AWS o la AWS Command Line Interface (AWS CLI). Los clústeres creados con la consola tienen el cifrado en reposo habilitado de forma predeterminada. Los clústeres creados con la AWS CLI tienen el cifrado en reposo deshabilitado de forma predeterminada. Por lo tanto, debe habilitar explícitamente el cifrado en reposo mediante el --storage-encrypted parámetro. En cualquier caso, una vez creado el clúster, no puede cambiar la opción de cifrado en reposo.

Amazon DocumentDB utiliza AWS KMS para recuperar y administrar claves de cifrado y para definir las políticas que controlan cómo se pueden utilizar estas claves. Si no especifica un identificador de clave AWS KMS, Amazon DocumentDB utiliza la clave KMS de AWS de servicio administrado predeterminado. Amazon DocumentDB crea una clave KMS independiente para cada Región de AWS de su Cuenta de AWS. Para obtener más información, consulte Conceptos de AWS Key Management Service.

Para comenzar a crear su propia KMS, consulte Introducción en la AWS Key Management ServiceGuía del desarrollador.

importante

Debe utilizar una clave de cifrado de KMS simétrica para cifrar el clúster, ya que Amazon DocumentDB solo admite claves de cifrado de KMS de cifrado simétricas. No utilice una KMS asimétrica para intentar cifrar los datos de los clústeres de Amazon DocumentDB. Para obtener más información, consulte claves asimétricas de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Si Amazon DocumentDB ya no puede obtener acceso a la clave de cifrado de un clúster, por ejemplo, cuando se revoca el acceso a una clave, el clúster cifrado entra en un estado terminal. En este caso, solo puede restaurar el clúster desde una copia de seguridad. Para Amazon DocumentDB, las copias de seguridad siempre están habilitadas durante 1 día.

Además, si deshabilita la clave de un clúster cifrado de Amazon DocumentDB, eventualmente perderá el acceso de lectura y escritura a ese clúster. Cuando Amazon DocumentDB encuentra una instancia que está cifrada con una clave a la que no tiene acceso, pone el clúster en un estado terminal. En dicho estado, el clúster ya no está disponible y no es posible recuperar su estado actual. Para restaurar el clúster, debe volver a activar el acceso a la clave de cifrado para Amazon DocumentDB y después restaurar el clúster a partir de una copia de seguridad.

importante

No puede cambiar la clave KMS de un clúster cifrado después de haberlo creado. Asegúrese de determinar los requisitos de clave de cifrado antes de crear el clúster cifrado.

Using the Consola de administración de AWS

Debe especificar la opción de cifrado en reposo al crear un clúster. El cifrado en reposo se habilita de forma predeterminada cuando se crea un clúster mediante la Consola de administración de AWS. No se puede cambiar una vez creado el clúster.

Para especificar la opción de cifrado en reposo, al crear el clúster

Cree un clúster de Amazon DocumentDB como se describe en la sección Introducción. Sin embargo, en el paso 6, no elija Create cluster (Crear clúster).
Debajo de la sección Authentication (Autenticación), elija Show advanced settings (Mostrar configuración avanzada).
Desplácese hacia abajo hasta la sección Encryption-at-rest (Cifrado en reposo).
Elija la opción que desee para el cifrado en reposo. Cualquiera que sea la opción que elija, no podrá cambiarla después de crear el clúster.
- Para cifrar datos en reposo en este clúster, elija Enable encryption (Habilitar cifrado).
- Si no desea cifrar datos en reposo en este clúster, elija Disable encryption (Deshabilitar cifrado).
Elija la clave principal que desee. Amazon DocumentDB utiliza AWS Key Management Service (AWS KMS) para recuperar y administrar claves de cifrado y para definir las políticas que controlan cómo se pueden utilizar estas claves. Si no especifica un identificador de clave AWS KMS, Amazon DocumentDB utiliza la clave KMS de AWS de servicio administrado predeterminado. Para obtener más información, consulte Conceptos de AWS Key Management Service.

nota
Después de crear un clúster cifrado, no puede cambiar la clave KMS de dicho clúster. Asegúrese de determinar los requisitos de clave de cifrado antes de crear el clúster cifrado.
Rellene las demás secciones según sea necesario y cree el clúster.

Using the AWS CLI

Para cifrar un clúster de Amazon DocumentDB mediante la AWS CLI, ejecute el comando create-db-cluster y especifique la opción --storage-encrypted. Los clústeres de Amazon DocumentDB creados con la AWS CLI no habilitan el cifrado de almacenamiento de forma predeterminada.

En el siguiente ejemplo se crea un clúster de Amazon DocumentDB con el cifrado de almacenamiento habilitado.

En los siguientes ejemplos, reemplace cada marcador de posición del usuario con la información de su clúster.

Para Linux, macOS o Unix:


aws docdb create-db-cluster \
  --db-cluster-identifier mydocdbcluster \
  --port 27017 \
  --engine docdb \
  --master-username SampleUser1 \
  --master-user-password primaryPassword \
  --storage-encrypted

Para Windows:


aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted

Cuando crea un clúster de Amazon DocumentDB cifrado, puede especificar un identificador de clave de AWS KMS, tal y como se muestra en el siguiente ejemplo.

Para Linux, macOS o Unix:


aws docdb create-db-cluster \
  --db-cluster-identifier SampleUser1 \
  --port 27017 \
  --engine docdb \
  --master-username primaryUsername \
  --master-user-password yourPrimaryPassword \
  --storage-encrypted \
  --kms-key-id key-arn-or-alias

Para Windows:


aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted ^
  --kms-key-id key-arn-or-alias

nota

Después de crear un clúster cifrado, no puede cambiar la clave KMS de dicho clúster. Asegúrese de determinar los requisitos de clave de cifrado antes de crear el clúster cifrado.

Limitaciones para clústeres cifrados de Amazon DocumentDB

Los clústeres cifrados de Amazon DocumentDB tienen las siguientes limitaciones:

Solo puede habilitar o deshabilitar el cifrado en reposo para un clúster de Amazon DocumentDB en el momento en que se crea, no después de que el clúster se haya creado. Sin embargo, puede crear una copia cifrada de un clúster sin cifrar creando una instantánea del clúster sin cifrar y, a continuación, restaurando la instantánea sin cifrar como nuevo clúster mientras especifica la opción de cifrado en reposo.

Para obtener más información, consulte los temas siguientes:
Los clústeres de Amazon DocumentDB con el cifrado de almacenamiento habilitado no se pueden modificar para deshabilitar el cifrado.
Todas las instancias, copias de seguridad automatizadas, instantáneas e índices de un clúster de Amazon DocumentDB se cifran con la misma clave KMS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cifrado a nivel de campo del lado del cliente

Cifrado de datos en tránsito