Crittografia delle risorse Amazon Aurora - Amazon Aurora
Panoramica della crittografia delle risorse Amazon AuroraCreazione di un cluster di database Amazon AuroraDeterminare se la crittografia è attivata per un cluster databaseDisponibilità della crittografia Amazon AuroraCrittografia in transitoLimiti relativi a istanze database crittografate Amazon Aurora

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia delle risorse Amazon Aurora

Amazon Aurora può crittografare i cluster database di Amazon Aurora. I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le cluster database, i backup automatici, le repliche di lettura e gli snapshot.

I istanze database Amazon Aurora crittografate utilizzano l'algoritmo di crittografia AES-256 standard del settore per crittografare i dati sul server che ospita i istanze database Amazon Aurora. Una volta crittografati i dati, Amazon Aurora gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia.

Nota

Per cluster di database crittografati e non crittografati, i dati in transito tra l'origine e le repliche di lettura vengono crittografati, anche durante la replica tra regioni AWS.

Panoramica della crittografia delle risorse Amazon Aurora

I cluster database Amazon Aurora crittografati offrono un livello aggiuntivo di sicurezza dei dati proteggendoli dagli accessi non autorizzati nello storage sottostante. Puoi utilizzare la crittografia Amazon Aurora per aumentare la protezione dei dati delle applicazioni che vengono distribuite nel cloud e per soddisfare i requisiti di conformità per la crittografia dei dati inattivi. Per un cluster database Amazon Aurora crittografato, vengono crittografati tutti i log, i backup e le snapshot. Per ulteriori informazioni sulla disponibilità e sui limiti della crittografia, consulta Disponibilità della crittografia Amazon Aurora e Limiti relativi a istanze database crittografate Amazon Aurora.

Amazon Aurora utilizza una chiave AWS Key Management Service per crittografare queste risorse. AWS KMS combina hardware e software sicuri e a disponibilità elevata per offrire un sistema di gestione delle chiavi a misura di cloud. Puoi utilizzare una Chiave gestita da AWS oppure creare le chiavi gestite dal cliente.

Quando crei un cluster di database crittografato, puoi scegliere una chiave gestita dal cliente o la Chiave gestita da AWS per Amazon Aurora per la crittografia del cluster di database. Se non specifichi l'identificatore della chiave per una chiave gestita dal cliente, Amazon Aurora utilizza la Chiave gestita da AWS per il nuovo cluster di database. Amazon Aurora crea una Chiave gestita da AWS per Amazon Aurora per il tuo account AWS. Il tuo account AWS dispone di una Chiave gestita da AWS diversa per Amazon Aurora per ogni Regione AWS.

Per gestire le chiavi gestite dal cliente utilizzate per crittografare e decrittografare le risorse di Amazon Aurora, utilizzare AWS Key Management Service (AWS KMS).

AWS KMS consente di creare chiavi gestite dal cliente e definire le policy per controllare l’utilizzo di queste chiavi gestite dal cliente. AWS KMS supporta CloudTrail, in modo da poter controllare l’uso della chiave KMS per verificare che le chiavi gestite dal cliente vengano utilizzate in modo appropriato. Puoi utilizzare le chiavi gestite dal cliente con Amazon Aurora e i servizi AWS supportati come Simple Storage Service (Amazon S3), Amazon EBS e Amazon Redshift. Per un elenco dei servizi integrati con AWS KMS, consulta Integrazione dei servizi AWS. Alcune considerazioni sull’utilizzo delle chiavi KMS:

  • Una volta creata un’istanza database crittografata, non potrai più modificare la chiave KMS utilizzata da quell’istanza database. Pertanto, assicurati di determinare i requisiti della chiave KMS prima di creare la tua istanza database crittografata.

    Se è necessario modificare la chiave di crittografia per il cluster di database, creare uno snapshot manuale del cluster e abilitare la crittografia durante la copia dello snapshot. Per ulteriori informazioni, consulta l’articolo re:Post Knowledge.

  • Se copi uno snapshot crittografata, puoi utilizzare una chiave KMS diversa per crittografare la snapshot di destinazione rispetto a quella utilizzata per crittografare la snapshot di origine.

  • Non puoi condividere uno snapshot che è stata crittografata con la Chiave gestita da AWS dell’account AWS che ha condiviso la snapshot.

  • Ogni istanza database nel cluster database viene crittografata utilizzando la stessa chiave KMS del cluster di database.

  • Puoi anche crittografare una replica di lettura di un cluster crittografato con Amazon Aurora.

Importante

In alcuni casi, Amazon Aurora può perdere l’accesso alla chiave KMS per un cluster di database quando si disabilita la chiave KMS. In questi casi, il cluster di database crittografato entra nello stato inaccessible-encryption-credentials-recoverable. Il cluster di database rimane in questo stato per sette giorni, durante i quali l’istanza viene arrestata. Le chiamate API effettuate al cluster di database durante questo periodo potrebbero non avere esito positivo. Per ripristinare il cluster di database, abilitare la chiave KMS e riavviare questo cluster di database. Abilitare la chiave KMS dalla Console di gestione AWS, da AWS CLI o dall’API RDS. Riavvia il cluster di database tramite il comando AWS CLI start-db-cluster o la Console di gestione AWS.

Lo stato inaccessible-encryption-credentials-recoverable si applica solo ai cluster di database che possono essere arrestati. Questo stato ripristinabile non è applicabile alle istanze che non possono essere arrestate, come i cluster con repliche di lettura tra Regioni. Per ulteriori informazioni, consulta Limitazioni per l'arresto e l'avvio di cluster di database Aurora.

Se il cluster di database non viene ripristinato entro sette giorni, passa allo stato terminale inaccessible-encryption-credentials. In questo stato, il cluster di database non è più utilizzabile e sarà possibile ripristinarlo solo da un backup. È consigliabile attivare sempre i backup per i cluster di database crittografati per evitare la perdita di dati crittografati nei database.

Durante la creazione di un cluster di database, Aurora verifica se il principale chiamante ha accesso alla chiave KMS e genera una concessione dalla chiave KMS che utilizza per l’intera durata del cluster di database. La revoca dell’accesso del principale chiamante alla chiave KMS non influisce su un database in esecuzione. Quando si utilizzano le chiavi KMS in scenari che coinvolgono più account, ad esempio per copiare uno snapshot in un altro account, la chiave KMS deve essere condivisa con l’altro account. Se si crea un cluster di database dallo snapshot senza specificare una chiave KMS diversa, il nuovo cluster utilizza la chiave KMS dell’account di origine. La revoca dell’accesso alla chiave dopo la creazione del cluster di database non influisce sul cluster. Tuttavia, la disabilitazione della chiave influisce su tutti i cluster di database crittografati con tale chiave. Per evitare che ciò accada, specificare una chiave diversa durante l’operazione di copia dello snapshot.

Per ulteriori informazioni sulle chiavi KMS, consulta AWS KMS keys nella Guida per sviluppatori di AWS Key Management Service e Gestione di AWS KMS key.

Creazione di un cluster di database Amazon Aurora

Per crittografare un nuovo cluster di database, scegliere Enable encryption (Abilita crittografia) nella console. Per ulteriori informazioni sulla creazione di un cluster database, consulta Creazione di un cluster database Amazon Aurora.

Se utilizzi il comando create-db-cluster di AWS CLI per creare un cluster database crittografato, imposta il parametro --storage-encrypted. Se utilizzi l'operazione API CreateDBCluster, imposta il parametro StorageEncrypted su true.

Una volta creato un cluster di database crittografato, non potrai più modificare la chiave KMS utilizzata da quel cluster di database. Assicurati quindi di determinare i requisiti della chiave KMS prima di creare il cluster di database crittografato.

Se utilizzi il comando AWS CLI create-db-cluster per creare un cluster database crittografato con una chiave gestita dal cliente, imposta il parametro --kms-key-id su qualsiasi identificatore di chiave per la chiave KMS. Se utilizzi la funzionalità CreateDBInstance dell'API Amazon RDS, imposta il parametro KmsKeyId su un qualsiasi identificatore chiave per la chiave KMS. Per utilizzare una chiave gestita dal cliente in un diverso account AWS, specifica l’ARN della chiave o dell’alias.

Determinare se la crittografia è attivata per un cluster database

Puoi utilizzare il plugin Console di gestione AWS, AWS CLI o API RDS per determinare se la crittografia a riposo è attivata per un cluster database.

Per determinare se la crittografia a riposo è attivata per un cluster database

  1. Accedi alla Console di gestione AWS e apri la console Amazon RDS all’indirizzo https://console.aws.amazon.com/rds/.

  2. Nel pannello di navigazione, scegliere Databases (Database).

  3. Scegliere il nome del cluster database da controllare per visualizzarne i dettagli.

  4. Selezionare la casella Configurazione e controllare il valore Crittografia.

    Mostra Enabled (Abilitato) o Non abilitato.

    Verifica della crittografia inattiva per un cluster database

Per determinare se la crittografia a riposo è attivata per un cluster database utilizzando il AWS CLI, richiamare il comando describe-db-clusters con la seguente opzione:

  • --db-cluster-identifier: il nome del cluster di database.

Nell'esempio seguente viene utilizzata una query per restituire TRUE o FALSE per quanto riguarda la crittografia inattiva per il cluster database mydb.

Esempio 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Per determinare se è attiva la crittografia dei dati inattivi per un cluster database utilizzando l'API Amazon RDS, richiamare l'operazione DescribeDBClusters con il parametro seguente:

  • DBClusterIdentifier: il nome del cluster di database.

Disponibilità della crittografia Amazon Aurora

La crittografia Amazon Aurora è attualmente disponibile per tutti i motori di database e i tipi di storage.

Nota

La crittografia Amazon Aurora non è disponibile per la classe di istanza database db.t2.micro.

Crittografia in transito

Crittografia a livello fisico

Tutti i dati che scorrono attraverso le Regioni AWS sulla rete globale AWS vengono automaticamente crittografati a livello fisico prima che escano dalle strutture protette di AWS. Tutto il traffico tra le AZ è crittografato. Ulteriori livelli di crittografia, inclusi quelli elencati in questa sezione, possono fornire ulteriore protezione.

Crittografia fornita da peering di Amazon VPC e peering fra regioni Transit Gateway

Tutto il traffico tra regioni che utilizza il peering Amazon VPC e Transit Gateway viene automaticamente crittografato in massa quando esce da una regione. Un ulteriore livello di crittografia viene fornito automaticamente al livello fisico per tutto il traffico prima che esca dalle strutture AWS protette.

Crittografia tra istanze

AWS fornisce una connettività privata e sicura tra le istanze database di tutti i tipi. Inoltre, alcuni tipi di istanza utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze. Questa crittografia utilizza algoritmi AEAD (Authenticated Encryption with Associated Data), con crittografia a 256 bit. Non vi è alcun impatto sulle prestazioni della rete. Per supportare questa crittografia aggiuntiva del traffico in transito tra istanze, è necessario soddisfare i seguenti requisiti:

  • Le istanze utilizzano i seguenti tipi di istanza:

    • Uso generico: M6i, M6id, M6in, M6idn, M7g

    • Ottimizzate per la memoria: R6i, R6id, R6in, R6idn, R7g, X2idn, X2iedn, X2iezn

  • Le istanze si trovano nella stessa Regione AWS.

  • Le istanze si trovano nello stesso VPC o VPC con peering e il traffico non passa attraverso un dispositivo di rete virtuale, ad esempio un load balancer (load balancer) o un Transit Gateway.

Limiti relativi a istanze database crittografate Amazon Aurora

Esistono le seguenti limitazioni per le istanze database crittografate Amazon Aurora:

  • Non puoi disattivare la crittografia di un cluster database crittografato.

  • Non puoi creare uno snapshot crittografata per un cluster database non crittografato.

  • Una snapshot di un cluster database crittografato deve essere crittografata utilizzando la stessa chiave KMS del cluster database.

  • Non è possibile convertire un cluster database non crittografato in uno crittografato. Tuttavia, puoi ripristinare uno snapshot di un cluster database non crittografato in un cluster database Aurora crittografato. Per eseguire questa operazione, specifica una chiave KMS quando ripristini dalla snapshot non crittografata.

  • Non è possibile creare una replica Aurora crittografata da un cluster database Aurora non crittografato. Non è possibile creare una replica Aurora non crittografata da un cluster database Aurora crittografato.

  • Per copiare uno snapshot crittografata da una regione AWS a un'altra, devi specificare la chiave KMS nella Regione AWS di destinazione. Questo perché le chiave KMS sono specifiche della Regione AWS in cui vengono create.

    La snapshot di origine resta crittografata nel processo di copia. Amazon Aurora utilizza la crittografia envelope per proteggere i dati durante il processo di copia. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service.

  • Non è possibile decrittografare un cluster database crittografato. Tuttavia, puoi esportare i dati da un cluster database crittografato e importarli in un cluster database non crittografato.