AWS KMS key gestione - Amazon Aurora
Autorizzazione dell'uso di una chiave gestita dal clienteContesto di crittografia di Amazon RDS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS KMS key gestione

Amazon Aurora si integra automaticamente AWS Key Management Service con AWS KMS() per la gestione delle chiavi. Amazon Aurora utilizza la crittografia a busta. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service .

  • Per avere il pieno controllo su una chiave KMS, devi creare una chiave gestita dal cliente. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

  • Chiavi gestite da AWSsono chiavi KMS presenti nel tuo account che vengono create, gestite e utilizzate per tuo conto da un AWS servizio integrato con. AWS KMS Per impostazione predefinita, per la crittografia viene utilizzato RDS Chiave gestita da AWS (aws/rds). Non è possibile gestire, ruotare o eliminare l'RDS. Chiave gestita da AWS Per ulteriori informazioni Chiavi gestite da AWSin merito Chiavi gestite da AWS, consulta la Guida per gli AWS Key Management Service sviluppatori.

Per gestire le chiavi KMS utilizzate per i cluster di istanze crittografate Amazon Aurora, usa AWS Key Management Service il AWS KMS() nella console, AWS CLI l'o AWS KMS l'API. AWS KMS Puoi visualizzare i log di controllo di ogni operazione eseguita con una chiave gestita da AWS o dal cliente utilizzando AWS CloudTrail. Per ulteriori informazioni sulla rotazione delle chiavi, consulta Rotazione delle chiavi AWS KMS.

Autorizzazione dell'uso di una chiave gestita dal cliente

Quando Aurora utilizza una chiave gestita dal cliente nelle operazioni crittografiche, agisce per conto dell'utente che sta creando o modificando la risorsa Aurora.

Per creare una risorsa Aurora utilizzando una chiave gestita dal cliente, un utente deve disporre delle autorizzazioni per richiamare le seguenti operazioni sulla chiave gestita dal cliente:

  • kms:CreateGrant

  • kms:DescribeKey

Puoi specificare queste autorizzazioni necessarie in una policy chiave o in una policy IAM se la policy chiave lo consente.

Suggerimento

Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave kms: ViaService condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio. AWS

Esistono diversi modi per rendere la policy IAM più efficace. Ad esempio, se desideri consentire l'utilizzo della chiave gestita dal cliente solo per le richieste che hanno origine in Aurora, utilizza kms:ViaService la chiave di condizione con rds.<region>.amazonaws.com il valore. Puoi inoltre usare le chiavi o i valori nel Contesto di crittografia di Amazon RDS come condizione per utilizzare la chiave gestita dal cliente per la crittografia.

Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS nella Guida per gli sviluppatori di AWS Key Management Service e Policy delle chiavi in AWS KMS.

Contesto di crittografia di Amazon RDS

Quando Aurora utilizza la tua chiave KMS o quando Amazon EBS utilizza la chiave KMS per conto di Aurora, il servizio specifica un contesto di crittografia. Il contesto di crittografia è costituito da dati autenticati aggiuntivi (AAD) utilizzati per garantire l'integrità dei dati. AWS KMS Quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio deve specificare lo stesso contesto di crittografia per l'operazione di decrittografia. In caso contrario, la decrittografia ha esito negativo. Il contesto di crittografia viene scritto nei log AWS CloudTrail per aiutarti a comprendere perché è stata utilizzata una determinata chiave KMS. CloudTrail I registri potrebbero contenere molte voci che descrivono l'uso di una chiave KMS, ma il contesto di crittografia in ogni voce di registro può aiutarti a determinare il motivo di quel particolare utilizzo.

Come minimo, Aurora utilizza sempre l'ID del cluster dell'istanza per il contesto di crittografia, come nel seguente esempio in formato JSON:

{ "aws:rds:dbc-id": "cluster-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Questo contesto di crittografia può aiutarti a identificare il cluster di DB per il quale è stata utilizzata la tua chiave KMS.

Quando la chiave KMS viene utilizzata per uno specifico cluster di DB e un volume Amazon EBS specifico, per il contesto di crittografia vengono utilizzati sia l'ID del cluster di DB che l'ID del volume Amazon EBS, come nel seguente esempio in formato JSON:

{
  "aws:rds:dbc-id": "cluster-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}