Enkripsi data untuk Amazon Aurora DSQL - Amazon Aurora DSQL
Jenis kunci KMSEnkripsi diamMenggunakan KMS dan kunci dataMengotorisasi kunci KMS AndaKonteks enkripsiPemantauan AWS KMSMembuat cluster terenkripsiMenghapus atau memperbarui kunciPertimbangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi data untuk Amazon Aurora DSQL

Amazon Aurora DSQL mengenkripsi semua data pengguna saat istirahat. Untuk keamanan yang ditingkatkan, enkripsi ini menggunakan AWS Key Management Service (AWS KMS). Fungsi ini membantu mengurangi beban operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Enkripsi saat istirahat membantu Anda:

  • Mengurangi beban operasional untuk melindungi data sensitif

  • Membangun aplikasi sensitif keamanan yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan

  • Tambahkan lapisan perlindungan data tambahan dengan selalu mengamankan data Anda dalam klaster terenkripsi

  • Mematuhi kebijakan organisasi, peraturan industri atau pemerintah, dan persyaratan kepatuhan

Dengan Aurora DSQL, Anda dapat membangun aplikasi yang sensitif terhadap keamanan yang memenuhi kepatuhan enkripsi dan persyaratan peraturan yang ketat. Bagian berikut menjelaskan cara mengkonfigurasi enkripsi untuk database Aurora DSQL baru dan yang sudah ada dan mengelola kunci enkripsi Anda.

Jenis kunci KMS untuk Aurora DSQL

Aurora DSQL terintegrasi dengan AWS KMS untuk mengelola kunci enkripsi untuk cluster Anda. Untuk mempelajari lebih lanjut tentang jenis dan status kunci, lihat AWS Key Management Service konsep di Panduan AWS Key Management Service Pengembang. Saat membuat klaster baru, Anda dapat memilih dari jenis kunci KMS berikut untuk mengenkripsi klaster Anda:

Kunci milik AWS

Jenis enkripsi default. Aurora DSQL memiliki kunci tanpa biaya tambahan kepada Anda. Amazon Aurora DSQL secara transparan mendekripsi data klaster saat Anda mengakses kluster terenkripsi. Anda tidak perlu mengubah kode atau aplikasi untuk menggunakan atau mengelola cluster terenkripsi, dan semua kueri Aurora DSQL berfungsi dengan data terenkripsi Anda.

Kunci yang dikelola pelanggan

Anda membuat, memiliki, dan mengelola kunci di Anda Akun AWS. Anda memiliki kontrol penuh atas tombol KMS. AWS KMS dikenakan biaya.

Enkripsi saat istirahat menggunakan Kunci milik AWS tersedia tanpa biaya tambahan. Namun, AWS KMS biaya berlaku untuk kunci yang dikelola pelanggan. Untuk informasi lebih lanjut, lihat halaman AWS KMS Harga.

Anda dapat beralih di antara jenis-jenis kunci ini kapan saja. Untuk informasi selengkapnya tentang jenis kunci, lihat Kunci yang dikelola pelanggan dan Kunci milik AWSdi Panduan AWS Key Management Service Pengembang.

catatan

Enkripsi Aurora DSQL saat istirahat tersedia di semua Wilayah di AWS mana Aurora DSQL tersedia.

Enkripsi saat istirahat di Aurora DSQL

Amazon Aurora DSQL menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256) untuk mengenkripsi data Anda saat istirahat. Enkripsi ini membantu melindungi data Anda dari akses tidak sah ke penyimpanan yang mendasarinya. AWS KMS mengelola kunci enkripsi untuk cluster Anda. Anda dapat menggunakan defaultKunci milik AWS, atau memilih untuk menggunakan sendiri AWS KMS Kunci yang dikelola pelanggan. Untuk mempelajari lebih lanjut tentang menentukan dan mengelola kunci untuk cluster Aurora DSQL Anda, lihat dan. Membuat cluster Aurora DSQL terenkripsi Menghapus atau memperbarui kunci untuk cluster Aurora DSQL Anda

Kunci milik AWS

Aurora DSQL mengenkripsi semua cluster secara default dengan. Kunci milik AWS Kunci ini gratis untuk digunakan dan diputar setiap tahun untuk melindungi sumber daya akun Anda. Anda tidak perlu melihat, mengelola, menggunakan, atau mengaudit kunci ini, sehingga tidak ada tindakan yang diperlukan untuk perlindungan data. Untuk informasi selengkapnya Kunci milik AWS, lihat Kunci milik AWSdi Panduan AWS Key Management Service Pengembang.

Kunci yang dikelola pelanggan

Anda membuat, memiliki, dan mengelola kunci yang dikelola pelanggan di Anda Akun AWS. Anda memiliki kendali penuh atas kunci KMS ini, termasuk kebijakan, materi enkripsi, tag, dan aliasnya. Untuk informasi selengkapnya tentang mengelola izin, lihat Kunci yang dikelola pelanggan di Panduan AWS Key Management Service Pengembang.

Saat Anda menentukan kunci terkelola pelanggan untuk enkripsi tingkat kluster, Aurora DSQL mengenkripsi cluster dan semua data regionalnya dengan kunci itu. Untuk mencegah kehilangan data dan mempertahankan akses cluster, Aurora DSQL memerlukan akses ke kunci enkripsi Anda. Jika Anda menonaktifkan kunci terkelola pelanggan, menjadwalkan kunci Anda untuk dihapus, atau memiliki kebijakan yang membatasi akses layanan Anda, status enkripsi untuk klaster Anda berubah menjadi. KMS_KEY_INACCESSIBLE Ketika Aurora DSQL tidak dapat mengakses kunci, pengguna tidak dapat terhubung ke cluster, status enkripsi untuk klaster berubahKMS_KEY_INACCESSIBLE, dan layanan kehilangan akses ke data cluster.

Untuk klaster Multi-region, pelanggan dapat mengonfigurasi kunci AWS KMS enkripsi setiap wilayah secara terpisah, dan setiap cluster regional menggunakan kunci enkripsi tingkat klaster sendiri. Jika Aurora DSQL tidak dapat mengakses kunci enkripsi untuk peer di klaster Multi-wilayah, status untuk rekan tersebut menjadi KMS_KEY_INACCESSIBLE dan menjadi tidak tersedia untuk operasi baca dan tulis. Rekan-rekan lainnya melanjutkan operasi normal.

catatan

Jika Aurora DSQL tidak dapat mengakses kunci terkelola pelanggan Anda, status enkripsi klaster Anda akan berubah menjadi. KMS_KEY_INACCESSIBLE Setelah Anda mengembalikan akses kunci, layanan akan secara otomatis mendeteksi pemulihan dalam waktu 15 menit. Untuk informasi selengkapnya, lihat Cluster idling.

Untuk klaster Multi-wilayah, jika akses kunci hilang untuk waktu yang lama, waktu pemulihan klaster tergantung pada berapa banyak data yang ditulis saat kunci tidak dapat diakses.

Menggunakan AWS KMS dan kunci data dengan Aurora DSQL

Fitur enkripsi Aurora DSQL saat istirahat menggunakan AWS KMS key dan hierarki kunci data untuk melindungi data cluster Anda.

Kami menyarankan Anda merencanakan strategi enkripsi Anda sebelum menerapkan cluster Anda di Aurora DSQL. Jika Anda menyimpan data sensitif atau rahasia di Aurora DSQL, pertimbangkan untuk menyertakan enkripsi sisi klien dalam paket Anda. Dengan cara ini, Anda dapat mengenkripsi data sedekat mungkin dengan asalnya, dan memastikan perlindungannya sepanjang siklus hidupnya.

Menggunakan AWS KMS key s dengan Aurora DSQL

Enkripsi saat istirahat melindungi cluster Aurora DSQL Anda di bawah file. AWS KMS key Secara default, Aurora DSQL menggunakan Kunci milik AWS, kunci enkripsi multi-tenant yang dibuat dan dikelola di akun layanan Aurora DSQL. Tetapi Anda dapat mengenkripsi cluster Aurora DSQL Anda di bawah kunci yang dikelola pelanggan di Anda. Akun AWS Anda dapat memilih kunci KMS yang berbeda untuk setiap cluster, bahkan jika itu berpartisipasi dalam pengaturan Multi-wilayah.

Anda memilih kunci KMS untuk klaster saat Anda membuat atau memperbarui cluster. Anda dapat mengubah kunci KMS untuk cluster kapan saja, baik di konsol Aurora DSQL atau dengan menggunakan operasi. UpdateCluster Proses peralihan kunci tidak memerlukan downtime atau menurunkan layanan.

penting

Aurora DSQL hanya mendukung tombol KMS simetris. Anda tidak dapat menggunakan kunci KMS asimetris untuk mengenkripsi cluster Aurora DSQL Anda.

Kunci yang dikelola pelanggan memberikan manfaat berikut.

  • Anda membuat dan mengelola kunci KMS, termasuk menyetel kebijakan utama dan kebijakan IAM untuk mengontrol akses ke kunci KMS. Anda dapat mengaktifkan dan menonaktifkan kunci KMS, mengaktifkan dan menonaktifkan rotasi kunci otomatis, dan menghapus kunci KMS ketika sudah tidak digunakan.

  • Anda dapat menggunakan kunci yang dikelola pelanggan dengan material kunci yang diimpor atau kunci yang dikelola pelanggan di penyimpanan kunci kustom yang Anda miliki dan kelola.

  • Anda dapat mengaudit enkripsi dan dekripsi cluster Aurora DSQL Anda dengan memeriksa panggilan Aurora DSQL API ke dalam log. AWS KMS AWS CloudTrail

Namun, Kunci milik AWS ini gratis dan penggunaannya tidak dihitung terhadap AWS KMS sumber daya atau kuota permintaan. Kunci yang dikelola pelanggan dikenakan biaya untuk setiap panggilan API dan AWS KMS kuota berlaku untuk kunci ini.

Menggunakan tombol cluster dengan Aurora DSQL

Aurora DSQL menggunakan AWS KMS key for the cluster untuk menghasilkan dan mengenkripsi kunci data unik untuk cluster, yang dikenal sebagai kunci cluster.

Kunci cluster digunakan sebagai kunci enkripsi kunci. Aurora DSQL menggunakan kunci cluster ini untuk melindungi kunci enkripsi data yang digunakan untuk mengenkripsi data cluster. Aurora DSQL menghasilkan kunci enkripsi data unik untuk setiap struktur yang mendasarinya dalam sebuah cluster, tetapi beberapa item cluster mungkin dilindungi oleh kunci enkripsi data yang sama.

Untuk mendekripsi kunci cluster, Aurora DSQL mengirimkan permintaan AWS KMS ketika Anda pertama kali mengakses cluster terenkripsi. Agar klaster tetap tersedia, Aurora DSQL secara berkala memverifikasi akses dekripsi ke kunci KMS, bahkan ketika Anda tidak aktif mengakses cluster.

Aurora DSQL menyimpan dan menggunakan kunci cluster dan kunci enkripsi data di luar. AWS KMS Layanan ini melindungi semua kunci dengan enkripsi Advanced Encryption Standard (AES) dan kunci enkripsi 256-bit. Kemudian, ia menyimpan kunci terenkripsi dengan data terenkripsi sehingga tersedia untuk mendekripsi data cluster sesuai permintaan.

Jika Anda mengubah kunci KMS untuk cluster Anda, Aurora DSQL mengenkripsi ulang kunci cluster yang ada dengan kunci KMS baru.

Caching kunci cluster

Untuk menghindari panggilan AWS KMS untuk setiap operasi Aurora DSQL, Aurora DSQL menyimpan kunci cluster plaintext untuk setiap pemanggil dalam memori. Jika Aurora DSQL mendapat permintaan untuk kunci cluster cache setelah 15 menit tidak aktif, ia mengirimkan permintaan baru untuk AWS KMS mendekripsi kunci cluster. Panggilan ini akan menangkap setiap perubahan yang dibuat pada kebijakan akses AWS KMS key dalam AWS KMS atau AWS Identity and Access Management (IAM) setelah permintaan terakhir untuk mendekripsi kunci klaster.

Otorisasi penggunaan Anda AWS KMS key untuk Aurora DSQL

Jika Anda menggunakan kunci yang dikelola pelanggan di akun Anda untuk melindungi klaster Aurora DSQL Anda, kebijakan pada kunci tersebut harus memberikan izin kepada Aurora DSQL untuk menggunakannya atas nama Anda.

Anda memiliki kendali penuh atas kebijakan pada kunci yang dikelola pelanggan. Aurora DSQL tidak memerlukan otorisasi tambahan untuk menggunakan default untuk Kunci milik AWS melindungi cluster Aurora DSQL di Anda. Akun AWS

Kebijakan kunci untuk kunci yang dikelola pelanggan

Ketika Anda memilih kunci yang dikelola pelanggan untuk melindungi cluster Aurora DSQL, Aurora DSQL memerlukan izin untuk menggunakan AWS KMS key atas nama kepala sekolah yang membuat pilihan. Prinsipal itu, pengguna atau peran, harus memiliki izin pada Aurora DSQL AWS KMS key yang dibutuhkan. Anda dapat memberikan izin ini dalam kebijakan utama, atau kebijakan IAM.

Minimal, Aurora DSQL memerlukan izin berikut pada kunci yang dikelola pelanggan:

  • kms:Encrypt

  • kms:Decrypt

  • kms:ReEncrypt*(untuk kms: ReEncryptFrom dan kms:ReEncryptTo)

  • kms:GenerateDataKey

  • kms:DescribeKey

Sebagai contoh, kebijakan kunci berikut hanya menyediakan izin yang diperlukan. Kebijakan ini memiliki efek sebagai berikut:

  • Memungkinkan Aurora DSQL untuk menggunakan AWS KMS key dalam operasi kriptografi, tetapi hanya ketika bertindak atas nama kepala sekolah di akun yang memiliki izin untuk menggunakan Aurora DSQL. Jika prinsipal yang ditentukan dalam pernyataan kebijakan tidak memiliki izin untuk menggunakan Aurora DSQL, panggilan gagal, bahkan ketika itu berasal dari layanan Aurora DSQL.

  • Kunci kms:ViaService kondisi mengizinkan izin hanya jika permintaan berasal dari Aurora DSQL atas nama prinsipal yang tercantum dalam pernyataan kebijakan. Pengguna utama ini tidak dapat memanggil operasi ini secara langsung.

  • Memberikan AWS KMS key administrator (pengguna yang dapat mengambil db-team peran) akses hanya-baca ke AWS KMS key

Sebelum menggunakan kebijakan kunci contoh, ganti prinsip contoh dengan prinsip aktual dari Anda. Akun AWS

{
  "Sid": "Enable dsql IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey",
    "kms:Encrypt",
    "kms:ReEncryptFrom",
    "kms:ReEncryptTo"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:dsql:ClusterId": "w4abucpbwuxx",
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
},
{
  "Sid": "Enable dsql IAM User Describe Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
}

Konteks enkripsi Aurora DSQL

Konteks enkripsi adalah seperangkat pasangan kunci-nilai yang berisi data non-rahasia yang arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Aurora DSQL menggunakan konteks enkripsi yang sama di semua operasi kriptografi. AWS KMS Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi klaster Aurora DSQL Anda, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan catatan dan log audit AWS KMS key dalam. Itu juga muncul dalam teks biasa di log seperti yang ada di. AWS CloudTrail

Konteks enkripsi juga dapat digunakan sebagai syarat untuk otorisasi dalam kebijakan.

Dalam permintaannya AWS KMS, Aurora DSQL menggunakan konteks enkripsi dengan pasangan kunci-nilai:


"encryptionContext": {
  "aws:dsql:ClusterId": "w4abucpbwuxx"
},

Pasangan kunci-nilai mengidentifikasi cluster yang dienkripsi Aurora DSQL. Kuncinya adalah aws:dsql:ClusterId. Nilainya adalah pengidentifikasi cluster.

Memantau interaksi Aurora DSQL dengan AWS KMS

Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi klaster Aurora DSQL Anda, Anda dapat menggunakan AWS CloudTrail log untuk melacak permintaan yang dikirim Aurora DSQL atas nama Anda. AWS KMS

Perluas bagian berikut untuk mempelajari bagaimana Aurora DSQL menggunakan operasi dan. AWS KMS GenerateDataKey Decrypt

Saat Anda mengaktifkan enkripsi saat istirahat di cluster, Aurora DSQL membuat kunci cluster yang unik. Ini mengirimkan GenerateDataKey permintaan untuk AWS KMS yang menentukan AWS KMS key untuk cluster.

Peristiwa yang mencatat operasi GenerateDataKey serupa dengan peristiwa contoh berikut. Pengguna adalah akun layanan Aurora DSQL. Parameter termasuk Amazon Resource Name (ARN) dari AWS KMS key, penentu kunci yang memerlukan kunci 256-bit, dan konteks enkripsi yang mengidentifikasi cluster.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "dsql.amazonaws.com"
    },
    "eventTime": "2025-05-16T18:41:24Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "dsql.amazonaws.com",
    "userAgent": "dsql.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:dsql:ClusterId": "w4abucpbwuxx"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
    },
    "responseElements": null,
    "requestID": "2da2dc32-d3f4-4d6c-8a41-aff27cd9a733",
    "eventID": "426df0a6-ba56-3244-9337-438411f826f4",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "f88e0dd8-6057-4ce0-b77d-800448426d4e",
    "vpcEndpointId": "AWS Internal",
    "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
    "eventCategory": "Management"
}

Saat Anda mengakses cluster Aurora DSQL terenkripsi, Aurora DSQL perlu mendekripsi kunci cluster sehingga dapat mendekripsi kunci di bawahnya dalam hierarki. Kemudian mendekripsi data di cluster. Untuk mendekripsi kunci cluster, Aurora DSQL mengirimkan Decrypt permintaan yang menentukan untuk AWS KMS cluster. AWS KMS key

Peristiwa yang mencatat operasi Decrypt serupa dengan peristiwa contoh berikut. Pengguna adalah kepala sekolah Anda Akun AWS yang mengakses cluster. Parameter termasuk kunci cluster terenkripsi (sebagai gumpalan ciphertext) dan konteks enkripsi yang mengidentifikasi cluster. AWS KMS berasal dari ID dari AWS KMS key ciphertext.

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AWSService",
    "invokedBy": "dsql.amazonaws.com"
  },
  "eventTime": "2018-02-14T16:42:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "dsql.amazonaws.com",
  "userAgent": "dsql.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "encryptionContext": {
      "aws:dsql:ClusterId": "w4abucpbwuxx"
    },
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "11cab293-11a6-11e8-8386-13160d3e5db5",
  "eventID": "b7d16574-e887-4b5b-a064-bf92f8ec9ad3",
  "readOnly": true,
  "resources": [
    {
      "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "accountId": "AWS Internal",
      "type": "AWS::KMS::Key"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "sharedEventID": "d99f2dc5-b576-45b6-aa1d-3a3822edbeeb",
  "vpcEndpointId": "AWS Internal",
  "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
  "eventCategory": "Management"
}

Membuat cluster Aurora DSQL terenkripsi

Semua cluster Aurora DSQL dienkripsi saat istirahat. Secara default, cluster menggunakan tanpa Kunci milik AWS biaya, atau Anda dapat menentukan AWS KMS kunci kustom. Ikuti langkah-langkah ini untuk membuat cluster terenkripsi Anda baik dari AWS Management Console atau. AWS CLI

Console
Untuk membuat cluster terenkripsi di AWS Management Console

  1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. https://console.aws.amazon.com/dsql/

  2. Di panel navigasi di sisi kiri konsol, pilih Klaster.

  3. Pilih Create Cluster di kanan atas dan pilih Single-Region.

  4. Dalam pengaturan enkripsi Cluster, pilih salah satu opsi berikut.

    • Terima pengaturan default untuk mengenkripsi dengan tanpa Kunci milik AWS biaya tambahan.

    • Pilih Sesuaikan pengaturan enkripsi (lanjutan) untuk menentukan kunci KMS kustom. Kemudian, cari atau masukkan ID atau alias kunci KMS Anda. Atau, pilih Buat AWS KMS kunci untuk membuat kunci baru di AWS KMS Konsol.

  5. Pilih Buat klaster.

Untuk mengonfirmasi jenis enkripsi klaster Anda, navigasikan ke halaman Cluster dan pilih ID klaster untuk melihat detail klaster. Tinjau tab pengaturan Cluster Pengaturan kunci KMS Cluster menunjukkan kunci default Aurora DSQL untuk cluster yang AWS menggunakan kunci yang dimiliki atau ID kunci untuk jenis enkripsi lainnya.

catatan

Jika Anda memilih untuk memiliki dan mengelola kunci Anda sendiri, pastikan Anda menetapkan kebijakan kunci KMS dengan tepat. Untuk contoh dan informasi lebih lanjut, lihatKebijakan kunci untuk kunci yang dikelola pelanggan.

CLI
Untuk membuat cluster yang dienkripsi dengan default Kunci milik AWS

  • Gunakan perintah berikut untuk membuat cluster Aurora DSQL.

    aws dsql create-cluster

Seperti yang ditunjukkan dalam detail enkripsi berikut, status enkripsi untuk cluster diaktifkan secara default, dan jenis enkripsi default adalah kunci yang dimiliki AWS. Cluster sekarang dienkripsi dengan kunci AWS default yang dimiliki di akun layanan Aurora DSQL.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}
Untuk membuat klaster yang dienkripsi dengan kunci terkelola pelanggan Anda

  • Gunakan perintah berikut untuk membuat cluster Aurora DSQL, mengganti ID kunci dalam teks merah dengan ID kunci yang dikelola pelanggan Anda.

    aws dsql create-cluster \
--kms-encryption-key d41d8cd98f00b204e9800998ecf8427e

Seperti yang ditunjukkan dalam detail enkripsi berikut, status enkripsi untuk cluster diaktifkan secara default, dan jenis enkripsi adalah kunci KMS yang dikelola pelanggan. Cluster sekarang dienkripsi dengan kunci Anda.

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:kms:us-east-1:111122223333:key/d41d8cd98f00b204e9800998ecf8427e",
  "encryptionStatus" : "ENABLED"
}

Menghapus atau memperbarui kunci untuk cluster Aurora DSQL Anda

Anda dapat menggunakan atau AWS CLI untuk memperbarui AWS Management Console atau menghapus kunci enkripsi pada cluster yang ada di Amazon Aurora DSQL. Jika Anda menghapus kunci tanpa menggantinya, Aurora DSQL menggunakan default. Kunci milik AWS Ikuti langkah-langkah ini untuk memperbarui kunci enkripsi cluster yang ada dari konsol Aurora DSQL atau. AWS CLI

Console
Untuk memperbarui atau menghapus kunci enkripsi di AWS Management Console

  1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. https://console.aws.amazon.com/dsql/

  2. Di panel navigasi di sisi kiri konsol, pilih Klaster.

  3. Dari tampilan daftar, temukan dan pilih baris cluster yang ingin Anda perbarui.

  4. Pilih menu Tindakan dan kemudian pilih Ubah.

  5. Dalam pengaturan enkripsi Cluster, pilih salah satu opsi berikut untuk mengubah pengaturan enkripsi Anda.

    • Jika Anda ingin beralih dari kunci khusus ke kunci Kunci milik AWS, hapus pilihan Sesuaikan pengaturan enkripsi (lanjutan). Pengaturan default akan menerapkan dan mengenkripsi cluster Anda dengan tanpa Kunci milik AWS biaya.

    • Jika Anda ingin beralih dari satu kunci KMS kustom ke yang lain atau dari tombol Kunci milik AWS ke KMS, pilih opsi Sesuaikan pengaturan enkripsi (lanjutan) jika belum dipilih. Kemudian, cari dan pilih ID atau alias kunci yang ingin Anda gunakan. Atau, pilih Buat AWS KMS kunci untuk membuat kunci baru di AWS KMS Konsol.

  6. Pilih Simpan.

CLI

Contoh berikut menunjukkan cara menggunakan AWS CLI untuk memperbarui cluster terenkripsi.

Untuk memperbarui cluster terenkripsi dengan default Kunci milik AWS


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key "AWS_OWNED_KMS_KEY"

Deskripsi cluster diatur ke ENABLED dan EncryptionType adalahAWS_OWNED_KMS_KEY. EncryptionStatus

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}

Cluster ini sekarang dienkripsi menggunakan default Kunci milik AWS di akun layanan Aurora DSQL.

Untuk memperbarui cluster terenkripsi dengan kunci terkelola pelanggan untuk Aurora DSQL

Perbarui cluster terenkripsi, seperti pada contoh berikut:


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234

Transisi deskripsi cluster ke UPDATING dan EncryptionType isCUSTOMER_MANAGED_KMS_KEY. EncryptionStatus Setelah Aurora DSQL selesai menyebarkan kunci baru melalui platform, status enkripsi akan dialihkan ke ENABLED

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:us-east-1:kms:key/abcd1234-abcd-1234-a123-ab1234a1b234",
  "encryptionStatus" : "ENABLED"
}
catatan

Jika Anda memilih untuk memiliki dan mengelola kunci Anda sendiri, pastikan Anda menetapkan kebijakan kunci KMS dengan tepat. Untuk contoh dan informasi lebih lanjut, lihatKebijakan kunci untuk kunci yang dikelola pelanggan.

Pertimbangan untuk enkripsi dengan Aurora DSQL

  • Aurora DSQL mengenkripsi semua data cluster saat istirahat. Anda tidak dapat menonaktifkan enkripsi ini atau mengenkripsi hanya beberapa item dalam sebuah cluster.

  • AWS Backup mengenkripsi cadangan Anda dan cluster apa pun yang dipulihkan dari cadangan ini. Anda dapat mengenkripsi data cadangan Anda dengan AWS Backup menggunakan kunci yang AWS dimiliki atau kunci yang dikelola pelanggan.

  • Status perlindungan data berikut diaktifkan untuk Aurora DSQL:

    • Data saat istirahat - Aurora DSQL mengenkripsi semua data statis pada media penyimpanan persisten

    • Data dalam perjalanan - Aurora DSQL mengenkripsi semua komunikasi menggunakan Transport Layer Security (TLS) secara default

  • Saat Anda beralih ke kunci yang berbeda, kami sarankan agar Anda tetap mengaktifkan kunci asli hingga transisi selesai. AWS membutuhkan kunci asli untuk mendekripsi data sebelum mengenkripsi data Anda dengan kunci baru. Prosesnya selesai ketika cluster encryptionStatus berada ENABLED dan Anda melihat kunci kmsKeyArn yang dikelola pelanggan baru.

  • Saat Anda menonaktifkan Kunci Terkelola Pelanggan atau mencabut akses Aurora DSQL untuk menggunakan kunci Anda, klaster Anda akan masuk ke status. IDLE

  • API DSQL Amazon Aurora AWS Management Console dan Amazon menggunakan istilah yang berbeda untuk jenis enkripsi:

    • AWS Konsol — Di konsol, Anda akan melihat KMS saat menggunakan kunci yang dikelola Pelanggan dan DEFAULT saat menggunakan kunci Kunci milik AWS.

    • API — Amazon Aurora DSQL API digunakan CUSTOMER_MANAGED_KMS_KEY untuk kunci yang dikelola pelanggan, dan untuk. AWS_OWNED_KMS_KEY Kunci milik AWS

  • Jika Anda tidak menentukan kunci enkripsi selama pembuatan klaster, Aurora DSQL secara otomatis mengenkripsi data Anda menggunakan file. Kunci milik AWS

  • Anda dapat beralih antara kunci yang dikelola Pelanggan Kunci milik AWS dan kapan saja. Buat perubahan ini menggunakan AWS Management Console, AWS CLI, atau Amazon Aurora DSQL API.