Crittografia dei dati per Amazon Aurora DSQL - Amazon Aurora DSQL
Tipi di chiavi KMSCrittografia a riposoUtilizzo di KMS e chiavi datiAutorizzazione della chiave KMSContesto di crittografiaMonitoraggio AWS KMSCreazione di un cluster crittografatoRimozione o aggiornamento di una chiaveConsiderazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati per Amazon Aurora DSQL

Amazon Aurora DSQL crittografa tutti i dati utente inattivi. Per una maggiore sicurezza, questa crittografia utilizza AWS Key Management Service ().AWS KMS Questa funzionalità consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. Encryption at rest ti aiuta a:

  • Riduci l'onere operativo legato alla protezione dei dati sensibili

  • Crea applicazioni sensibili alla sicurezza che soddisfino i rigorosi requisiti normativi e di conformità alla crittografia

  • Aggiungi un ulteriore livello di protezione dei dati proteggendo sempre i dati in un cluster crittografato

  • Rispetta le politiche organizzative, le normative di settore o governative e i requisiti di conformità

Con Aurora DSQL, puoi creare applicazioni sensibili alla sicurezza che soddisfano rigorosi requisiti normativi e di conformità alla crittografia. Le sezioni seguenti spiegano come configurare la crittografia per i database Aurora DSQL nuovi ed esistenti e gestire le chiavi di crittografia.

Tipi di chiavi KMS per Aurora DSQL

Aurora DSQL si integra con la gestione delle chiavi di crittografia AWS KMS per i cluster. Per ulteriori informazioni sui tipi e gli stati delle chiavi, consulta AWS Key Management Service i concetti nella Guida per gli sviluppatori.AWS Key Management Service Quando crei un nuovo cluster, puoi scegliere tra i seguenti tipi di chiavi KMS per crittografare il cluster:

Chiave di proprietà di AWS

Tipo di crittografia predefinito. Aurora DSQL possiede la chiave senza costi aggiuntivi per l'utente. Amazon Aurora DSQL decrittografa in modo trasparente i dati del cluster quando accedi a un cluster crittografato. Non è necessario modificare il codice o le applicazioni per utilizzare o gestire i cluster crittografati e tutte le query SQL di Aurora funzionano con i dati crittografati.

Chiave gestita dal cliente

Sei tu a creare, possedere e gestire la chiave nel tuo. Account AWS Hai il pieno controllo sulla chiave KMS. AWS KMS si applicano costi.

La crittografia a riposo utilizzando il Chiave di proprietà di AWS è disponibile senza costi aggiuntivi. Tuttavia, per le chiavi gestite dal cliente vengono AWS KMS addebitati dei costi. Per ulteriori informazioni, consulta la pagina dei prezzi di AWS KMS.

Puoi passare da un tipo di chiave all'altro in qualsiasi momento. Per ulteriori informazioni sui tipi di chiave, consulta Customer managed keys e Chiavi di proprietà di AWSnella AWS Key Management Service Developer Guide.

Nota

La crittografia Aurora DSQL at Rest è disponibile in tutte le regioni in AWS cui è disponibile Aurora DSQL.

Crittografia inattiva in Aurora DSQL

Amazon Aurora DSQL utilizza Advanced Encryption Standard (AES-256) a 256 bit per crittografare i dati inattivi. Questa crittografia aiuta a proteggere i dati dall'accesso non autorizzato allo storage sottostante. AWS KMS gestisce le chiavi di crittografia per i cluster. È possibile utilizzare l'impostazione predefinita Chiavi di proprietà di AWS o scegliere di utilizzare la propria. AWS KMS Chiavi gestite dal cliente Per ulteriori informazioni sulla specificazione e la gestione delle chiavi per i cluster Aurora DSQL, consulta e. Creazione di un cluster Aurora DSQL crittografato Rimozione o aggiornamento di una chiave per il cluster Aurora DSQL

Chiavi di proprietà di AWS

Aurora DSQL crittografa tutti i cluster per impostazione predefinita con. Chiavi di proprietà di AWS Queste chiavi possono essere utilizzate gratuitamente e ruotano ogni anno per proteggere le risorse del tuo account. Non è necessario visualizzare, gestire, utilizzare o controllare queste chiavi, quindi non è richiesta alcuna azione per la protezione dei dati. Per ulteriori informazioni Chiavi di proprietà di AWSin merito Chiavi di proprietà di AWS, consulta la Guida per AWS Key Management Service gli sviluppatori.

Chiavi gestite dal cliente

Puoi creare, possedere e gestire le chiavi gestite dai clienti nel tuo Account AWS. Hai il pieno controllo su queste chiavi KMS, comprese le relative politiche, il materiale di crittografia, i tag e gli alias. Per ulteriori informazioni sulla gestione delle autorizzazioni, consulta Customer managed keys nella Developer Guide.AWS Key Management Service

Quando si specifica una chiave gestita dal cliente per la crittografia a livello di cluster, Aurora DSQL crittografa il cluster e tutti i relativi dati regionali con quella chiave. Per prevenire la perdita di dati e mantenere l'accesso al cluster, Aurora DSQL deve accedere alla chiave di crittografia. Se disabiliti la chiave gestita dal cliente, ne pianifichi l'eliminazione o disponi di una politica che limita l'accesso al servizio, lo stato di crittografia del cluster cambia a. KMS_KEY_INACCESSIBLE Quando Aurora DSQL non può accedere alla chiave, gli utenti non possono connettersi al cluster, lo stato di crittografia del cluster cambia e il servizio perde l'accesso ai dati del cluster. KMS_KEY_INACCESSIBLE

Per i cluster multiregionali, i clienti possono configurare la chiave di AWS KMS crittografia di ciascuna regione separatamente e ogni cluster regionale utilizza la propria chiave di crittografia a livello di cluster. Se Aurora DSQL non è in grado di accedere alla chiave di crittografia per un peer in un cluster multiregionale, lo stato di quel peer diventa KMS_KEY_INACCESSIBLE e non è più disponibile per le operazioni di lettura e scrittura. Gli altri peer continuano le normali operazioni.

Nota

Se Aurora DSQL non riesce ad accedere alla chiave gestita dal cliente, lo stato di crittografia del cluster cambia in. KMS_KEY_INACCESSIBLE Dopo aver ripristinato l'accesso alla chiave, il servizio rileverà automaticamente il ripristino entro 15 minuti. Per ulteriori informazioni, vedere Cluster idling.

Per i cluster multiregionali, se l'accesso alla chiave viene perso per un periodo prolungato, il tempo di ripristino del cluster dipende dalla quantità di dati scritti mentre la chiave era inaccessibile.

Utilizzo AWS KMS e chiavi dati con Aurora DSQL

La funzionalità di crittografia a riposo di Aurora DSQL utilizza una AWS KMS key e una gerarchia di chiavi di dati per proteggere i dati del cluster.

Ti consigliamo di pianificare la tua strategia di crittografia prima di implementare il cluster in Aurora DSQL. Se memorizzi dati sensibili o riservati in Aurora DSQL, prendi in considerazione l'inclusione della crittografia lato client nel tuo piano. In questo modo puoi crittografare i dati il più vicino possibile alla loro origine e garantirne la protezione per tutto il loro ciclo di vita.

Usare AWS KMS key s con Aurora DSQL

Encryption at rest protegge il cluster Aurora DSQL in un. AWS KMS key Per impostazione predefinita, Aurora DSQL utilizza una Chiave di proprietà di AWS chiave di crittografia multi-tenant creata e gestita in un account del servizio Aurora DSQL. Ma puoi crittografare i tuoi cluster Aurora DSQL con una chiave gestita dal cliente nel tuo. Account AWS Puoi selezionare una chiave KMS diversa per ogni cluster, anche se fa parte di una configurazione multiregionale.

Si seleziona la chiave KMS per un cluster quando si crea o si aggiorna il cluster. È possibile modificare la chiave KMS per un cluster in qualsiasi momento, nella console Aurora DSQL o utilizzando l'operazione. UpdateCluster Il processo di cambio delle chiavi non richiede tempi di inattività o peggioramento del servizio.

Importante

Aurora DSQL supporta solo chiavi KMS simmetriche. Non è possibile utilizzare una chiave KMS asimmetrica per crittografare i cluster Aurora DSQL.

Una chiave gestita dal cliente offre i seguenti vantaggi.

  • Puoi creare e gestire la chiave KMS, inclusa l'impostazione delle politiche chiave e delle politiche IAM per controllare l'accesso alla chiave KMS. È possibile abilitare e disabilitare la chiave KMS, abilitare e disabilitare la rotazione automatica della chiave ed eliminare la chiave KMS quando non è più in uso.

  • Puoi utilizzare una chiave gestita dal cliente con materiale di chiave importato o una chiave gestita dal cliente in un archivio delle chiavi personalizzate di cui sei proprietario e gestore.

  • È possibile controllare la crittografia e la decrittografia del cluster Aurora DSQL esaminando le chiamate dell'API Aurora DSQL ai log. AWS KMS AWS CloudTrail

Tuttavia, Chiave di proprietà di AWS è gratuito e il suo utilizzo non influisce sulle quote di risorse o richieste. AWS KMS Le chiavi gestite dal cliente comportano un addebito per ogni chiamata API e a queste chiavi si applicano delle AWS KMS quote.

Utilizzo delle chiavi del cluster con Aurora DSQL

Aurora DSQL utilizza for the cluster AWS KMS key per generare e crittografare una chiave dati univoca per il cluster, nota come chiave del cluster.

La chiave del cluster viene utilizzata come chiave di crittografia. Aurora DSQL utilizza questa chiave del cluster per proteggere le chiavi di crittografia dei dati utilizzate per crittografare i dati del cluster. Aurora DSQL genera una chiave di crittografia dei dati unica per ogni struttura sottostante in un cluster, ma più elementi del cluster potrebbero essere protetti dalla stessa chiave di crittografia dei dati.

Per decrittografare la chiave del cluster, Aurora DSQL invia una richiesta a AWS KMS quando si accede per la prima volta a un cluster crittografato. Per mantenere il cluster disponibile, Aurora DSQL verifica periodicamente l'accesso di decrittografia alla chiave KMS, anche quando non si accede attivamente al cluster.

Aurora DSQL archivia e utilizza la chiave del cluster e le chiavi di crittografia dei dati all'esterno di. AWS KMS Protegge tutte le chiavi con la crittografia Advanced Encryption Standard (AES) e le chiavi di crittografia a 256 bit. Quindi, memorizza le chiavi crittografate con i dati crittografati in modo che siano disponibili per decrittografare i dati del cluster su richiesta.

Se si modifica la chiave KMS per il cluster, Aurora DSQL crittografa nuovamente la chiave del cluster esistente con la nuova chiave KMS.

Memorizzazione nella cache delle chiavi del cluster

Per evitare di chiamare AWS KMS per ogni operazione Aurora DSQL, Aurora DSQL memorizza nella cache le chiavi del cluster in testo semplice per ogni chiamante in memoria. Se Aurora DSQL riceve una richiesta per la chiave del cluster memorizzata nella cache dopo 15 minuti di inattività, invia una nuova richiesta per AWS KMS decrittografare la chiave del cluster. Questa chiamata acquisirà tutte le modifiche apportate alle politiche di accesso di AWS KMS key in AWS KMS o AWS Identity and Access Management (IAM) dopo l'ultima richiesta di decrittografia della chiave del cluster.

Autorizzazione all'uso del tuo AWS KMS key per Aurora DSQL

Se utilizzi una chiave gestita dal cliente nel tuo account per proteggere il tuo cluster Aurora DSQL, le policy su quella chiave devono autorizzare Aurora DSQL a utilizzarla per tuo conto.

Hai il pieno controllo sulle politiche di una chiave gestita dal cliente. Aurora DSQL non necessita di autorizzazioni aggiuntive per utilizzare l'impostazione predefinita per proteggere i Chiave di proprietà di AWS cluster Aurora DSQL nel tuo. Account AWS

Policy delle chiavi per una chiave gestita dal cliente

Quando si seleziona una chiave gestita dal cliente per proteggere un cluster Aurora DSQL, Aurora DSQL necessita dell'autorizzazione per utilizzarla per AWS KMS key conto del principale che effettua la selezione. Tale principale, un utente o un ruolo, deve disporre delle autorizzazioni richieste da Aurora DSQL. AWS KMS key Puoi fornire queste autorizzazioni in una policy chiave o in una policy IAM.

Come minimo, Aurora DSQL richiede le seguenti autorizzazioni su una chiave gestita dal cliente:

  • kms:Encrypt

  • kms:Decrypt

  • kms:ReEncrypt*(per e) kms: ReEncryptFrom kms: ReEncryptTo

  • kms:GenerateDataKey

  • kms:DescribeKey

Ad esempio, la policy di chiave di esempio riportata di seguito fornisce solo le autorizzazioni necessarie. La policy ha i seguenti effetti:

  • Consente ad Aurora DSQL di utilizzare Aurora DSQL AWS KMS key nelle operazioni crittografiche, ma solo quando agisce per conto dei responsabili dell'account che dispongono del permesso di utilizzare Aurora DSQL. Se i principali specificati nell'informativa non dispongono dell'autorizzazione per utilizzare Aurora DSQL, la chiamata ha esito negativo, anche quando proviene dal servizio Aurora DSQL.

  • La chiave kms:ViaService condition consente le autorizzazioni solo quando la richiesta proviene da Aurora DSQL per conto dei principali elencati nell'informativa. Tali entità non possono chiamare direttamente queste operazioni.

  • Fornisce agli AWS KMS key amministratori (utenti che possono assumere il db-team ruolo) l'accesso in sola lettura a AWS KMS key

Prima di utilizzare una politica chiave di esempio, sostituisci i principi di esempio con i principali effettivi del tuo. Account AWS

{
  "Sid": "Enable dsql IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey",
    "kms:Encrypt",
    "kms:ReEncryptFrom",
    "kms:ReEncryptTo"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:dsql:ClusterId": "w4abucpbwuxx",
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
},
{
  "Sid": "Enable dsql IAM User Describe Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
}

Contesto di crittografia Aurora DSQL

Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.

Aurora DSQL utilizza lo stesso contesto di crittografia in tutte le AWS KMS operazioni crittografiche. Se si utilizza una chiave gestita dal cliente per proteggere il cluster Aurora DSQL, è possibile utilizzare il contesto di crittografia per identificare l'utilizzo di tale chiave nei record e AWS KMS key nei log di controllo. Viene inoltre visualizzato in testo semplice nei log come quelli di. AWS CloudTrail

Il contesto di crittografia può essere utilizzato anche come condizione per l'autorizzazione nelle politiche.

Nelle sue richieste a AWS KMS, Aurora DSQL utilizza un contesto di crittografia con una coppia chiave-valore:


"encryptionContext": {
  "aws:dsql:ClusterId": "w4abucpbwuxx"
},

La coppia chiave-valore identifica il cluster crittografato da Aurora DSQL. La chiave è aws:dsql:ClusterId. Il valore è l'identificatore del cluster.

Monitoraggio dell'interazione di Aurora DSQL con AWS KMS

Se utilizzi una chiave gestita dal cliente per proteggere i tuoi cluster Aurora DSQL, puoi utilizzare i AWS CloudTrail log per tenere traccia delle richieste a cui Aurora DSQL invia per tuo conto. AWS KMS

Espandi le seguenti sezioni per scoprire come Aurora DSQL utilizza le AWS KMS operazioni e. GenerateDataKey Decrypt

Quando abiliti la crittografia a riposo su un cluster, Aurora DSQL crea una chiave cluster univoca. Invia una GenerateDataKey richiesta a AWS KMS che specifica il nome AWS KMS key per il cluster.

L'evento che registra l'operazione GenerateDataKey è simile a quello del seguente evento di esempio. L'utente è l'account del servizio Aurora DSQL. I parametri includono l'Amazon Resource Name (ARN) di AWS KMS key, un identificatore di chiave che richiede una chiave a 256 bit e il contesto di crittografia che identifica il cluster.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "dsql.amazonaws.com"
    },
    "eventTime": "2025-05-16T18:41:24Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "dsql.amazonaws.com",
    "userAgent": "dsql.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:dsql:ClusterId": "w4abucpbwuxx"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
    },
    "responseElements": null,
    "requestID": "2da2dc32-d3f4-4d6c-8a41-aff27cd9a733",
    "eventID": "426df0a6-ba56-3244-9337-438411f826f4",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "f88e0dd8-6057-4ce0-b77d-800448426d4e",
    "vpcEndpointId": "AWS Internal",
    "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
    "eventCategory": "Management"
}

Quando si accede a un cluster Aurora DSQL crittografato, Aurora DSQL deve decrittografare la chiave del cluster in modo da poter decrittografare le chiavi sottostanti nella gerarchia. Quindi decripta i dati nel cluster. Per decrittografare la chiave del cluster, Aurora DSQL invia una Decrypt richiesta a AWS KMS che specifica il nome del cluster. AWS KMS key

L'evento che registra l'operazione Decrypt è simile a quello del seguente evento di esempio. L'utente è il principale dell'utente Account AWS che accede al cluster. I parametri includono la chiave del cluster crittografata (come blob di testo cifrato) e il contesto di crittografia che identifica il cluster. AWS KMS ricava l'ID di dal testo cifrato. AWS KMS key 

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AWSService",
    "invokedBy": "dsql.amazonaws.com"
  },
  "eventTime": "2018-02-14T16:42:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "dsql.amazonaws.com",
  "userAgent": "dsql.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "encryptionContext": {
      "aws:dsql:ClusterId": "w4abucpbwuxx"
    },
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "11cab293-11a6-11e8-8386-13160d3e5db5",
  "eventID": "b7d16574-e887-4b5b-a064-bf92f8ec9ad3",
  "readOnly": true,
  "resources": [
    {
      "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "accountId": "AWS Internal",
      "type": "AWS::KMS::Key"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "sharedEventID": "d99f2dc5-b576-45b6-aa1d-3a3822edbeeb",
  "vpcEndpointId": "AWS Internal",
  "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
  "eventCategory": "Management"
}

Creazione di un cluster Aurora DSQL crittografato

Tutti i cluster Aurora DSQL sono crittografati a riposo. Per impostazione predefinita, i cluster utilizzano una chiave Chiave di proprietà di AWS gratuita oppure è possibile specificare una chiave personalizzata. AWS KMS Segui questi passaggi per creare il tuo cluster crittografato da AWS Management Console o da. AWS CLI

Console
Per creare un cluster crittografato in AWS Management Console

  1. Accedi alla console di AWS gestione e apri la console Aurora DSQL all'indirizzo. https://console.aws.amazon.com/dsql/

  2. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  3. Scegli Crea cluster in alto a destra e seleziona Single-Region.

  4. Nelle impostazioni di crittografia del cluster, scegli una delle seguenti opzioni.

    • Accetta le impostazioni predefinite per crittografare senza Chiave di proprietà di AWS costi aggiuntivi.

    • Seleziona Personalizza le impostazioni di crittografia (avanzate) per specificare una chiave KMS personalizzata. Quindi, cerca o inserisci l'ID o l'alias della tua chiave KMS. In alternativa, scegli Crea una AWS KMS chiave per creare una nuova chiave nella AWS KMS console.

  5. Scegli Create cluster (Crea cluster).

Per confermare il tipo di crittografia per il cluster, vai alla pagina Cluster e seleziona l'ID del cluster per visualizzare i dettagli del cluster. Esamina la scheda Impostazioni cluster: l'impostazione della chiave Cluster KMS mostra la chiave predefinita Aurora DSQL per i cluster che AWS utilizzano chiavi di proprietà o l'ID della chiave per altri tipi di crittografia.

Nota

Se scegli di possedere e gestire la tua chiave, assicurati di impostare la politica delle chiavi KMS in modo appropriato. Per esempi e ulteriori informazioni, consulta. Policy delle chiavi per una chiave gestita dal cliente

CLI
Per creare un cluster crittografato con le impostazioni predefinite Chiave di proprietà di AWS

  • Utilizzare il comando seguente per creare un cluster Aurora DSQL.

    aws dsql create-cluster

Come illustrato nei seguenti dettagli di crittografia, lo stato di crittografia per il cluster è abilitato per impostazione predefinita e il tipo di crittografia predefinito è la chiave di proprietà di AWS. Il cluster è ora crittografato con la chiave predefinita di proprietà di AWS nell'account del servizio Aurora DSQL.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}
Per creare un cluster crittografato con la chiave gestita dal cliente

  • Usa il comando seguente per creare un cluster Aurora DSQL, sostituendo l'ID della chiave in rosso con l'ID della chiave gestita dal cliente.

    aws dsql create-cluster \
--kms-encryption-key d41d8cd98f00b204e9800998ecf8427e

Come illustrato nei seguenti dettagli di crittografia, lo stato di crittografia per il cluster è abilitato per impostazione predefinita e il tipo di crittografia è la chiave KMS gestita dal cliente. Il cluster è ora crittografato con la tua chiave.

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:kms:us-east-1:111122223333:key/d41d8cd98f00b204e9800998ecf8427e",
  "encryptionStatus" : "ENABLED"
}

Rimozione o aggiornamento di una chiave per il cluster Aurora DSQL

Puoi usare AWS Management Console o the AWS CLI per aggiornare o rimuovere le chiavi di crittografia sui cluster esistenti in Amazon Aurora DSQL. Se si rimuove una chiave senza sostituirla, Aurora DSQL utilizza l'impostazione predefinita. Chiave di proprietà di AWS Segui questi passaggi per aggiornare le chiavi di crittografia di un cluster esistente dalla console Aurora DSQL o dal. AWS CLI

Console
Per aggiornare o rimuovere una chiave di crittografia in AWS Management Console

  1. Accedi alla console di AWS gestione e apri la console Aurora DSQL all'indirizzo. https://console.aws.amazon.com/dsql/

  2. Nel riquadro di navigazione sul lato sinistro della console, scegli Cluster.

  3. Dalla visualizzazione a elenco, trova e seleziona la riga del cluster che desideri aggiornare.

  4. Seleziona il menu Azioni, quindi scegli Modifica.

  5. Nelle impostazioni di crittografia del cluster, scegli una delle seguenti opzioni per modificare le impostazioni di crittografia.

    • Se desideri passare da una chiave personalizzata a una Chiave di proprietà di AWS, deseleziona l'opzione Personalizza le impostazioni di crittografia (avanzate). Le impostazioni predefinite applicheranno e crittograferanno il cluster Chiave di proprietà di AWS gratuitamente.

    • Se desideri passare da una chiave KMS personalizzata a un'altra o da una Chiave di proprietà di AWS a una chiave KMS, seleziona l'opzione Personalizza le impostazioni di crittografia (avanzate) se non è già selezionata. Quindi, cerca e seleziona l'ID o l'alias della chiave che desideri utilizzare. In alternativa, scegli Crea una AWS KMS chiave per creare una nuova chiave nella AWS KMS console.

  6. Scegli Save (Salva).

CLI

Gli esempi seguenti mostrano come utilizzare AWS CLI per aggiornare un cluster crittografato.

Per aggiornare un cluster crittografato con quello predefinito Chiave di proprietà di AWS


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key "AWS_OWNED_KMS_KEY"

La descrizione EncryptionStatus del cluster è impostata su ENABLED e suAWS_OWNED_KMS_KEY. EncryptionType

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}

Questo cluster è ora crittografato utilizzando l'impostazione predefinita Chiave di proprietà di AWS nell'account del servizio Aurora DSQL.

Per aggiornare un cluster crittografato con una chiave gestita dal cliente per Aurora DSQL

Aggiornate il cluster crittografato, come nell'esempio seguente:


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234

La descrizione EncryptionStatus del cluster passa a UPDATING e EncryptionType vieneCUSTOMER_MANAGED_KMS_KEY. Dopo che Aurora DSQL avrà terminato la propagazione della nuova chiave attraverso la piattaforma, lo stato di crittografia verrà trasferito a ENABLED

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:us-east-1:kms:key/abcd1234-abcd-1234-a123-ab1234a1b234",
  "encryptionStatus" : "ENABLED"
}
Nota

Se scegli di possedere e gestire la tua chiave, assicurati di impostare la politica delle chiavi KMS in modo appropriato. Per esempi e ulteriori informazioni, consulta. Policy delle chiavi per una chiave gestita dal cliente

Considerazioni sulla crittografia con Aurora DSQL

  • Aurora DSQL crittografa tutti i dati del cluster inattivi. Non è possibile disabilitare questa crittografia o crittografare solo alcuni elementi in un cluster.

  • AWS Backup crittografa i tuoi backup e tutti i cluster ripristinati da questi backup. È possibile crittografare i dati di backup AWS Backup utilizzando la chiave AWS proprietaria o una chiave gestita dal cliente.

  • I seguenti stati di protezione dei dati sono abilitati per Aurora DSQL:

    • Dati inattivi: Aurora DSQL crittografa tutti i dati statici su supporti di archiviazione persistenti

    • Dati in transito: Aurora DSQL crittografa tutte le comunicazioni utilizzando Transport Layer Security (TLS) per impostazione predefinita

  • Quando si passa a una chiave diversa, si consiglia di mantenere attiva la chiave originale fino al completamento della transizione. AWS necessita della chiave originale per decrittografare i dati prima di crittografare i dati con la nuova chiave. Il processo è completo quando il cluster è attivo ENABLED e encryptionStatus viene visualizzata la nuova chiave kmsKeyArn gestita dal cliente.

  • Quando disabiliti la Customer Managed Key o revochi l'accesso ad Aurora DSQL per utilizzare la tua chiave, il cluster entrerà in uno stato. IDLE

  • L'API SQL di Amazon Aurora AWS Management Console e Amazon Aurora utilizzano termini diversi per i tipi di crittografia:

    • AWS Console: nella console, vedrai KMS quando usi una chiave gestita dal cliente e DEFAULT quando usi un. Chiave di proprietà di AWS

    • API: l'API SQL di Amazon Aurora viene utilizzata CUSTOMER_MANAGED_KMS_KEY per le chiavi gestite dai clienti e per. AWS_OWNED_KMS_KEY Chiavi di proprietà di AWS

  • Se non si specifica una chiave di crittografia durante la creazione del cluster, Aurora DSQL crittografa automaticamente i dati utilizzando il. Chiave di proprietà di AWS

  • Puoi passare da una Chiave di proprietà di AWS chiave gestita dal cliente a una chiave gestita dal cliente in qualsiasi momento. Apporta questa modifica utilizzando AWS Management Console AWS CLI, o l'API SQL di Amazon Aurora.