Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS KMS key manajemen
Amazon Aurora secara otomatis terintegrasi AWS Key Management Service dengan AWS KMS() untuk manajemen kunci. Amazon Aurora menggunakan enkripsi amplop. Untuk informasi selengkapnya tentang enkripsi amplop, lihat Enkripsi amplop di Panduan Developer AWS Key Management Service .
Anda dapat menggunakan dua jenis AWS KMS kunci untuk mengenkripsi cluster DB Anda.
-
Jika Anda menginginkan kontrol penuh atas kunci KMS, Anda harus membuat kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat Kunci yang dikelola pelanggan di Panduan Developer AWS Key Management Service .
-
Kunci yang dikelola AWSadalah kunci KMS di akun Anda yang dibuat, dikelola, dan digunakan atas nama Anda oleh AWS layanan yang terintegrasi dengannya AWS KMS. Secara default, RDS Kunci yang dikelola AWS (
aws/rds) digunakan untuk enkripsi. Anda tidak dapat mengelola, memutar, atau menghapus RDS. Kunci yang dikelola AWS Untuk informasi selengkapnya Kunci yang dikelola AWS, lihat Kunci yang dikelola AWSdi Panduan AWS Key Management Service Pengembang.
Untuk mengelola kunci KMS yang digunakan untuk cluster instans terenkripsi Amazon Aurora, gunakan AWS KMS() di AWS Key Management ServiceAWS KMS konsol, atau API.
Mengizinkan penggunaan kunci yang dikelola pelanggan
Ketika Aurora menggunakan kunci yang dikelola pelanggan dalam operasi kriptografi, ia bertindak atas nama pengguna yang membuat atau mengubah sumber daya Aurora.
Untuk membuat sumber daya Aurora menggunakan kunci yang dikelola pelanggan, pengguna harus memiliki izin untuk memanggil operasi berikut pada kunci yang dikelola pelanggan:
-
kms:CreateGrant -
kms:DescribeKey
Anda dapat menentukan izin yang diperlukan ini dalam kebijakan kunci, atau dalam kebijakan IAM jika kebijakan kunci memungkinkan hal tersebut.
Tip
Untuk mengikuti prinsip hak akses paling rendah, jangan biarkan akses penuh ke kms:CreateGrant. Sebagai gantinya, gunakan kunci ViaService kondisi kms: untuk memungkinkan pengguna membuat hibah pada kunci KMS hanya ketika hibah dibuat atas nama pengguna oleh layanan. AWS
Anda dapat membuat kebijakan IAM lebih ketat dalam berbagai cara. Misalnya, jika Anda ingin mengizinkan kunci yang dikelola pelanggan hanya digunakan untuk permintaan yang berasal dari , gunakan kunci kms: ViaService kondisi dengan nilainya. rds. Selain itu, Anda dapat menggunakan kunci atau nilai dalam Konteks enkripsi Amazon RDS sebagai syarat untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi.<region>.amazonaws.com
Untuk informasi selengkapnya, lihat Mengizinkan pengguna di akun lain untuk menggunakan kunci KMS di Panduan Developer AWS Key Management Service dan Kebijakan kunci di AWS KMS.
Konteks enkripsi Amazon RDS
Ketika Aurora menggunakan kunci KMS Anda, atau ketika Amazon EBS menggunakan kunci KMS atas nama Aurora, layanan menentukan konteks enkripsi. Konteks enkripsi adalah data otentikasi tambahan (AAD) yang AWS KMS digunakan untuk memastikan integritas data. Ketika konteks enkripsi ditentukan untuk operasi enkripsi, layanan harus menentukan konteks enkripsi yang sama untuk operasi dekripsi. Jika tidak, dekripsi akan gagal. Konteks enkripsi juga ditulis ke log AWS CloudTrail
Minimal, Aurora selalu menggunakan ID cluster instans untuk konteks enkripsi, seperti pada contoh berformat JSON berikut:
{ "aws:rds:dbc-id": "cluster-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }
Konteks enkripsi ini dapat membantu Anda mengidentifikasi cluster DB tempat kunci KMS Anda digunakan.
Bila kunci KMS Anda digunakan untuk cluster DB tertentu dan volume Amazon EBS tertentu, ID cluster DB dan ID volume Amazon EBS digunakan untuk konteks enkripsi, seperti pada contoh berformat JSON berikut:
{ "aws:rds:dbc-id": "cluster-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }
