Tipi di chiave KMS Crittografia dei dati a riposo Utilizzo di KMS e chiavi di dati Autorizzazione all’uso della chiave KMS Contesto di crittografia Monitoraggio AWS KMS Creazione di un cluster crittografato Rimozione o aggiornamento di una chiave Considerazioni

Crittografia dei dati per Amazon Aurora DSQL

Amazon Aurora DSQL crittografa tutti i dati a riposo degli utenti. Per una maggiore sicurezza, questa crittografia utilizza AWS Key Management Service (AWS KMS). Questa funzionalità consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. La crittografia dei dati a riposo permette di:

Ridurre l’onere operativo legato alla protezione dei dati sensibili
Creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia
Aggiungere un ulteriore livello di protezione dei dati proteggendo sempre i dati in un cluster crittografato
Rispettare le policy organizzative, le normative di settore o governative e i requisiti di conformità

La crittografia dei dati a risposo consente di creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia. Le sezioni seguenti spiegano come configurare la crittografia per i database Aurora DSQL nuovi ed esistenti e gestire le chiavi di crittografia.

Argomenti

Tipi di chiave KMS per Aurora DSQL
Crittografia dei dati a riposo in Aurora DSQL
Utilizzo AWS KMS e chiavi dati con Aurora DSQL
Autorizzazione all'uso del tuo AWS KMS key per Aurora DSQL
Contesto di crittografia di Aurora DSQL
Monitoraggio dell’interazione di Aurora DSQL con AWS KMS
Creazione di un cluster Aurora DSQL crittografato
Rimozione o aggiornamento di una chiave per il cluster Aurora DSQL
Considerazioni sulla crittografia con Aurora DSQL

Tipi di chiave KMS per Aurora DSQL

Aurora DSQL si integra con la gestione delle chiavi di crittografia AWS KMS per i cluster. Per maggiori informazioni sui tipi e gli stati delle chiavi, consulta Concetti di AWS Key Management Service nella Guida per gli sviluppatori di AWS Key Management Service . Quando si crea un nuovo cluster, è possibile selezionare tra i seguenti tipi di chiave KMS per crittografare il cluster:

Chiave di proprietà di AWS: Tipo di crittografia predefinito. Aurora DSQL possiede la chiave senza costi aggiuntivi per l’utente. Amazon Aurora DSQL decrittografa in modo trasparente i dati del cluster quando si accede a un cluster crittografato. Non è necessario modificare il codice o le applicazioni per utilizzare o gestire i cluster crittografati e tutte le query SQL di Aurora funzionano con i dati crittografati.
Chiave gestita dal cliente: Tu crei, possiedi e gestisci la chiave del tuo. Account AWS Hai il pieno controllo sulla chiave KMS. AWS KMS si applicano costi.

La crittografia a riposo utilizzando il Chiave di proprietà di AWS è disponibile senza costi aggiuntivi. Tuttavia, per le chiavi gestite dal cliente vengono AWS KMS addebitati dei costi. Per maggiori informazioni, consulta la pagina Prezzi di AWS KMS.

È possibile passare da un tipo di chiave all’altro in qualsiasi momento. Per maggiori informazioni sui tipi di chiave, consulta Chiavi gestite dal cliente e Chiavi di proprietà di AWS nella Guida per gli sviluppatori di AWS Key Management Service .

Nota

La crittografia Aurora DSQL at Rest è disponibile in tutte le regioni in AWS cui è disponibile Aurora DSQL.

Crittografia dei dati a riposo in Aurora DSQL

Amazon Aurora DSQL utilizza Advanced Encryption Standard a 256 bit (AES-256) per crittografare i dati a riposo. Questa crittografia aiuta a proteggere i dati dall'accesso non autorizzato allo storage sottostante. AWS KMS gestisce le chiavi di crittografia per i cluster. È possibile utilizzare l’impostazione predefinita Chiavi di proprietà di AWS o scegliere di utilizzare la propria Chiavi gestite dal cliente AWS KMS . Per maggiori informazioni sulla specificazione e la gestione delle chiavi per i cluster Aurora DSQL, consulta Creazione di un cluster Aurora DSQL crittografato e Rimozione o aggiornamento di una chiave per il cluster Aurora DSQL.

Chiavi di proprietà di AWS

Aurora DSQL crittografa tutti i cluster per impostazione predefinita con. Chiavi di proprietà di AWS Queste chiavi possono essere utilizzate gratuitamente e ruotano ogni anno per proteggere le risorse degli account. Non è necessario visualizzare, gestire, utilizzare o controllare queste chiavi, quindi non è necessaria alcuna azione per la protezione dei dati. Per ulteriori informazioni in merito Chiavi di proprietà di AWS, consulta la Guida per gli Chiavi di proprietà di AWSsviluppatori.AWS Key Management Service

Chiavi gestite dal cliente

È possibile creare, possedere e gestire chiavi gestite dal cliente in Account AWS. L’utente mantiene il pieno controllo su queste chiavi KMS, comprese le relative policy, il materiale di crittografia, i tag e gli alias. Per maggiori informazioni sulla gestione delle autorizzazioni, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Quando si specifica una chiave gestita dal cliente per la crittografia a livello di cluster, Aurora DSQL crittografa il cluster e tutti i relativi dati regionali con quella chiave. Per prevenire la perdita di dati e mantenere l’accesso al cluster, Aurora DSQL deve accedere alla chiave di crittografia. Se si disabilita la chiave gestita dal cliente, se ne pianifica l’eliminazione o si impone una policy che limita l’accesso al servizio, lo stato di crittografia del cluster diventa KMS_KEY_INACCESSIBLE. Quando Aurora DSQL non è in grado di accedere alla chiave, gli utenti non possono connettersi al cluster, lo stato di crittografia del cluster diventa KMS_KEY_INACCESSIBLE e il servizio perde l’accesso ai dati del cluster.

Per i cluster multiregionali, i clienti possono configurare la chiave di AWS KMS crittografia di ciascuna regione separatamente e ogni cluster regionale utilizza la propria chiave di crittografia a livello di cluster. Se Aurora DSQL non è in grado di accedere alla chiave di crittografia per un peer in un cluster multi-Regione, lo stato di quel peer diventa KMS_KEY_INACCESSIBLE e non è più disponibile per le operazioni di lettura e scrittura. Gli altri peer continuano con la normale operatività.

Nota

Se Aurora DSQL non è in grado di accedere alla chiave gestita dal cliente, lo stato di crittografia del cluster diventa KMS_KEY_INACCESSIBLE. Dopo aver ripristinato l’accesso alla chiave, il servizio rileverà automaticamente il ripristino entro 15 minuti. Per maggiori informazioni, consulta la sezione Cluster in stato sospeso.

Per i cluster multi-Regione, se l’accesso alla chiave viene perso per un periodo prolungato, il tempo di ripristino del cluster dipende dalla quantità di dati scritti mentre la chiave era inaccessibile.

Utilizzo AWS KMS e chiavi dati con Aurora DSQL

La funzionalità di crittografia a riposo di Aurora DSQL utilizza una AWS KMS key e una gerarchia di chiavi di dati per proteggere i dati del cluster.

Consigliamo di pianificare la strategia di crittografia prima di implementare il cluster in Aurora DSQL. Se si archiviano dati sensibili o riservati in Aurora DSQL, prendere in considerazione l’inclusione della crittografia lato client nel piano. In questo modo è possibile crittografare i dati il più vicino possibile alla loro origine e garantirne la protezione per tutto il ciclo di vita.

Argomenti

Usare AWS KMS key s con Aurora DSQL
Utilizzo delle chiavi del cluster con Aurora DSQL
Caching della chiave del cluster

Usare AWS KMS key s con Aurora DSQL

La crittografia dei dati a riposo protegge il cluster Aurora DSQL con una AWS KMS key. Per impostazione predefinita, Aurora DSQL utilizza una Chiave di proprietà di AWS chiave di crittografia multi-tenant creata e gestita in un account del servizio Aurora DSQL. È però possibile crittografare i cluster Aurora DSQL con una chiave gestita dal cliente nel proprio Account AWS. È possibile selezionare una chiave KMS differente per ogni cluster, anche se fa parte di una configurazione multi-Regione.

Quando si crea o si aggiorna il cluster si seleziona la chiave KMS relativa. È possibile modificare la chiave KMS per un cluster in qualsiasi momento, nella console di Aurora DSQL oppure utilizzando l’operazione UpdateCluster. Il processo di scambio di chiavi non richiede tempo di inattività e non comporta alcun calo delle prestazioni del servizio.

Importante

Aurora DSQL supporta solo chiavi KMS simmetriche. Non è possibile utilizzare una chiave KMS asimmetrica per crittografare i cluster Aurora DSQL.

Una chiave gestita dal cliente fornisce i seguenti vantaggi.

Il cliente crea e gestisce la chiave KMS, inclusa l’impostazione delle Policy delle chiavi e delle Policy IAM per controllare l’accesso alla chiave KMS. È possibile abilitare e disabilitare la chiave KMS, abilitare e disabilitare la rotazione automatica della chiave ed eliminare la chiave KMS quando non è più in uso.
È possibile utilizzare una chiave gestita dal cliente con materiale di chiave importato o una chiave gestita dal cliente in un archivio delle chiavi personalizzate di cui il cliente è proprietario e gestore.
È possibile controllare la crittografia e la decrittografia del cluster Aurora DSQL esaminando le chiamate dell'API Aurora DSQL ai log. AWS KMS AWS CloudTrail

Tuttavia, Chiave di proprietà di AWS è gratuito e il suo utilizzo non influisce sulle quote di risorse o richieste. AWS KMS Le chiavi gestite dal cliente sono soggette a un addebito per ogni chiamata API e a tali chiavi KMS vengono applicate le quote di AWS KMS .

Utilizzo delle chiavi del cluster con Aurora DSQL

Aurora DSQL utilizza for the cluster AWS KMS key per generare e crittografare una chiave dati univoca per il cluster, nota come chiave del cluster.

La chiave del cluster viene utilizzata come chiave di crittografia. Aurora DSQL utilizza questa chiave del cluster per proteggere le chiavi di crittografia dei dati utilizzate per crittografare i dati del cluster. Aurora DSQL genera una chiave di crittografia dei dati univoca per ogni struttura sottostante in un cluster, ma più di un elemento della cluster potrebbe essere protetto dalla stessa chiave di crittografia dei dati.

Per decrittografare la chiave del cluster, Aurora DSQL invia una richiesta al primo accesso a un cluster AWS KMS crittografato. Per mantenere il cluster disponibile, Aurora DSQL verifica periodicamente l’accesso del sistema di decrittazione alla chiave KMS, anche quando non si accede attivamente al cluster.

Aurora DSQL archivia e utilizza la chiave del cluster e le chiavi di crittografia dei dati all'esterno di. AWS KMS Protegge tutte le chiavi con la crittografia Advanced Encryption Standard (AES) e le chiavi di crittografia a 256 bit. Quindi, archivia le chiavi crittografate con i dati crittografati, in modo che siano disponibili per decrittografare i dati del cluster on demand.

Quando si modifica la chiave KMS per il cluster, Aurora DSQL crittografa nuovamente la chiave del cluster esistente con la nuova chiave KMS.

Caching della chiave del cluster

Per evitare di chiamare AWS KMS per ogni operazione Aurora DSQL, Aurora DSQL memorizza nella cache le chiavi del cluster in testo semplice per ogni chiamante in memoria. Se Aurora DSQL riceve una richiesta per la chiave del cluster memorizzata nella cache dopo 15 minuti di inattività, invia una nuova richiesta per AWS KMS decrittografare la chiave del cluster. Questa chiamata acquisirà tutte le modifiche apportate alle politiche di accesso di AWS KMS key in AWS KMS o AWS Identity and Access Management (IAM) dopo l'ultima richiesta di decrittografia della chiave del cluster.

Autorizzazione all'uso del tuo AWS KMS key per Aurora DSQL

Se si utilizza una chiave gestita dal cliente nel proprio account per proteggere il cluster Aurora DSQL, è necessario che le policy su tale chiave forniscano ad Aurora DSQL l’autorizzazione per usarla per conto dell’utente.

L’utente ha il pieno controllo sulle policy di una chiave gestita dal cliente. Aurora DSQL non necessita di autorizzazioni aggiuntive per utilizzare l'impostazione predefinita per proteggere i Chiave di proprietà di AWS cluster Aurora DSQL nel tuo. Account AWS

Policy della chiave per una chiave gestita dal cliente

Quando si seleziona una chiave gestita dal cliente per proteggere un cluster Aurora DSQL, Aurora DSQL necessita dell'autorizzazione per utilizzarla per AWS KMS key conto del principale che effettua la selezione. Tale principale, un utente o un ruolo, deve disporre delle autorizzazioni richieste da Aurora DSQL. AWS KMS key È possibile fornire queste autorizzazioni in una policy della chiave o in una policy IAM.

Le autorizzazioni minime richieste da Aurora DSQL per una chiave gestita dal cliente sono:

kms:Encrypt
kms:Decrypt
kms:ReEncrypt*(per e) kms: ReEncryptFrom kms: ReEncryptTo
kms:GenerateDataKey
kms:DescribeKey

Ad esempio, la policy della chiave di esempio riportata di seguito fornisce solo le autorizzazioni necessarie. La policy ha i seguenti effetti:

Consente ad Aurora DSQL di utilizzare Aurora DSQL AWS KMS key nelle operazioni crittografiche, ma solo quando agisce per conto dei responsabili dell'account che dispongono del permesso di utilizzare Aurora DSQL. Se le entità principali specificate nell’istruzione della policy non dispongono dell’autorizzazione per l’utilizzo di Aurora DSQL, la chiamata non riesce, anche quando proviene dal servizio Aurora DSQL.
La chiave di condizione kms:ViaService consente le autorizzazioni solo quando la richiesta proviene da Aurora DSQL per conto delle entità principali elencate nell’istruzione della policy. Tali entità principali non possono chiamare direttamente queste operazioni.
Fornisce agli AWS KMS key amministratori (utenti che possono assumere il ruolo) l'accesso in sola lettura a db-team AWS KMS key

Prima di utilizzare una politica chiave di esempio, sostituisci i principi di esempio con i principali effettivi del tuo. Account AWS


{
  "Sid": "Enable dsql IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey",
    "kms:Encrypt",
    "kms:ReEncryptFrom",
    "kms:ReEncryptTo"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:dsql:ClusterId": "w4abucpbwuxx",
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
},
{
  "Sid": "Enable dsql IAM User Describe Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
}

Contesto di crittografia di Aurora DSQL

Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.

Aurora DSQL utilizza lo stesso contesto di crittografia in tutte le AWS KMS operazioni crittografiche. Se si utilizza una chiave gestita dal cliente per proteggere il cluster Aurora DSQL, è possibile utilizzare il contesto di crittografia per identificare l'utilizzo di tale chiave nei record e AWS KMS key nei log di controllo. Viene inoltre visualizzato come testo in chiaro nei log, ad esempio quelli di AWS CloudTrail.

Il contesto di crittografia può anche essere usato come una condizione per le autorizzazioni nelle policy.

Nelle sue richieste a AWS KMS, Aurora DSQL utilizza un contesto di crittografia con una coppia chiave-valore:



"encryptionContext": {
  "aws:dsql:ClusterId": "w4abucpbwuxx"
},

La coppia chiave-valore identifica il cluster che Aurora DSQL sta crittografando. La chiave è aws:dsql:ClusterId. Il valore è l’identificativo del cluster.

Monitoraggio dell’interazione di Aurora DSQL con AWS KMS

Se utilizzi una chiave gestita dal cliente per proteggere i tuoi cluster Aurora DSQL, puoi utilizzare i AWS CloudTrail log per tenere traccia delle richieste a cui Aurora DSQL invia per tuo conto. AWS KMS

Espandi le seguenti sezioni per scoprire come Aurora DSQL utilizza le AWS KMS operazioni e. GenerateDataKey Decrypt

Quando si abilita la crittografia dei dati a riposo su un cluster, Aurora DSQL crea una chiave del cluster univoca. Invia una GenerateDataKey richiesta a AWS KMS che specifica il nome AWS KMS key per il cluster.

L’evento che registra l’operazione GenerateDataKey è simile a quello del seguente evento di esempio. L’utente è l’account di servizio di Aurora DSQL. I parametri includono l'Amazon Resource Name (ARN) di AWS KMS key, un identificatore di chiave che richiede una chiave a 256 bit e il contesto di crittografia che identifica il cluster.


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "dsql.amazonaws.com"
    },
    "eventTime": "2025-05-16T18:41:24Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "dsql.amazonaws.com",
    "userAgent": "dsql.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:dsql:ClusterId": "w4abucpbwuxx"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
    },
    "responseElements": null,
    "requestID": "2da2dc32-d3f4-4d6c-8a41-aff27cd9a733",
    "eventID": "426df0a6-ba56-3244-9337-438411f826f4",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "f88e0dd8-6057-4ce0-b77d-800448426d4e",
    "vpcEndpointId": "AWS Internal",
    "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
    "eventCategory": "Management"
}

Quando si accede a un cluster Aurora DSQL crittografato, Aurora DSQL deve decrittografare la chiave del cluster per poter decrittografare le chiavi sottostanti nella gerarchia. Quindi decrittografa i dati nel cluster. Per decrittografare la chiave del cluster, Aurora DSQL invia una Decrypt richiesta a AWS KMS che specifica il nome del cluster. AWS KMS key

L’evento che registra l’operazione Decrypt è simile a quello del seguente evento di esempio. L'utente è il principale dell'utente Account AWS che accede al cluster. I parametri includono la chiave del cluster crittografata (come blob di testo cifrato) e il contesto di crittografia che identifica il cluster. AWS KMS ricava l'ID di dal testo cifrato. AWS KMS key


{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AWSService",
    "invokedBy": "dsql.amazonaws.com"
  },
  "eventTime": "2018-02-14T16:42:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "dsql.amazonaws.com",
  "userAgent": "dsql.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "encryptionContext": {
      "aws:dsql:ClusterId": "w4abucpbwuxx"
    },
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "11cab293-11a6-11e8-8386-13160d3e5db5",
  "eventID": "b7d16574-e887-4b5b-a064-bf92f8ec9ad3",
  "readOnly": true,
  "resources": [
    {
      "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "accountId": "AWS Internal",
      "type": "AWS::KMS::Key"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "sharedEventID": "d99f2dc5-b576-45b6-aa1d-3a3822edbeeb",
  "vpcEndpointId": "AWS Internal",
  "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
  "eventCategory": "Management"
}

Creazione di un cluster Aurora DSQL crittografato

Tutti i cluster Aurora DSQL sono crittografati a riposo. Per impostazione predefinita, i cluster utilizzano una chiave Chiave di proprietà di AWS gratuita oppure è possibile specificare una chiave personalizzata. AWS KMS Segui questi passaggi per creare il tuo cluster crittografato da Console di gestione AWS o da. AWS CLI

Console

Per creare un cluster crittografato in Console di gestione AWS

Accedi alla console di AWS gestione e apri la console Aurora DSQL all'indirizzo. https://console.aws.amazon.com/dsql/
Nel pannello di navigazione sul lato sinistro della console, scegli Cluster.
Scegli Crea cluster in alto a destra e seleziona Regione singola.
Nelle Impostazioni di crittografia del cluster, seleziona una delle seguenti opzioni.
- Accetta le impostazioni predefinite per crittografare con un file senza Chiave di proprietà di AWS costi aggiuntivi.
- Seleziona Personalizza le impostazioni di crittografia (avanzate) per specificare una chiave KMS personalizzata. Quindi, cerca o inserisci l’ID o l’alias della tua chiave KMS. In alternativa, scegli Crea una AWS KMS chiave per creare una nuova chiave nella AWS KMS console.
Scegli Crea cluster.

Per confermare il tipo di crittografia per il cluster, vai alla pagina Cluster e seleziona l’ID del cluster per visualizzarne i dettagli. Esamina la scheda Impostazioni cluster: l'impostazione della chiave Cluster KMS mostra la chiave predefinita Aurora DSQL per i cluster che AWS utilizzano chiavi di proprietà o l'ID della chiave per altri tipi di crittografia.

Nota

Se scegli di possedere e gestire la tua chiave, assicurati che la policy della chiave KMS sia impostata in modo appropriato. Per esempi e maggiori informazioni, consulta Policy della chiave per una chiave gestita dal cliente.

CLI

Per creare un cluster crittografato con l'impostazione predefinita Chiave di proprietà di AWS

Utilizza il comando seguente per creare un cluster Aurora DSQL.
```
aws dsql create-cluster
```

Come illustrato nei seguenti dettagli di crittografia, lo stato di crittografia per il cluster è abilitato per impostazione predefinita e il tipo di crittografia predefinito è la chiave di proprietà di AWS. Il cluster è ora crittografato con la chiave predefinita di proprietà di AWS nell’account del servizio Aurora DSQL.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}

Come creare un cluster crittografato con la chiave gestita dal cliente

Utilizza il comando seguente per creare un cluster Aurora DSQL, sostituendo l’ID della chiave scritto in rosso con l’ID della chiave gestita da te in qualità di cliente.
```
aws dsql create-cluster \
--kms-encryption-key d41d8cd98f00b204e9800998ecf8427e
```

Come illustrato nei seguenti dettagli di crittografia, lo stato di crittografia per il cluster è abilitato per impostazione predefinita e il tipo di crittografia è la chiave KMS gestita dal cliente. Il cluster è ora crittografato con la chiave dell’utente.

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:kms:us-east-1:111122223333:key/d41d8cd98f00b204e9800998ecf8427e",
  "encryptionStatus" : "ENABLED"
}

Rimozione o aggiornamento di una chiave per il cluster Aurora DSQL

Puoi usare Console di gestione AWS o the AWS CLI per aggiornare o rimuovere le chiavi di crittografia sui cluster esistenti in Amazon Aurora DSQL. Se rimuovi una chiave senza sostituirla, Aurora DSQL utilizza l’impostazione predefinita Chiave di proprietà di AWS. Segui questi passaggi per aggiornare le chiavi di crittografia di un cluster esistente dalla console Aurora DSQL o dalla AWS CLI.

Console

Per aggiornare o rimuovere una chiave di crittografia in Console di gestione AWS

Accedi alla console di AWS gestione e apri la console Aurora DSQL all'indirizzo. https://console.aws.amazon.com/dsql/
Nel pannello di navigazione sul lato sinistro della console, scegli Cluster.
Nella visualizzazione a elenco, trova e seleziona la riga del cluster che desideri aggiornare.
Seleziona il menu Operazioni e quindi scegli Modifica.
Nelle Impostazioni di crittografia del cluster, scegli una delle seguenti opzioni per modificare le impostazioni di crittografia.
- Se desideri passare da una chiave personalizzata a una Chiave di proprietà di AWS, deseleziona l'opzione Personalizza le impostazioni di crittografia (avanzate). Le impostazioni predefinite applicheranno e crittograferanno il cluster Chiave di proprietà di AWS gratuitamente.
- Se desideri passare da una chiave KMS personalizzata a un’altra o da una Chiave di proprietà di AWS a una chiave KMS, seleziona l’opzione Personalizza le impostazioni di crittografia (avanzate) se non è già selezionata. Quindi, cerca e seleziona l’ID o l’alias della chiave che desideri utilizzare. In alternativa, scegli Crea una AWS KMS chiave per creare una nuova chiave nella AWS KMS console.
Scegli Save (Salva).

CLI

Gli esempi seguenti mostrano come utilizzare AWS CLI per aggiornare un cluster crittografato.

Per aggiornare un cluster crittografato con quello predefinito Chiave di proprietà di AWS



aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key "AWS_OWNED_KMS_KEY"

Lo EncryptionStatus della descrizione del cluster è impostato su ENABLED ed EncryptionType è AWS_OWNED_KMS_KEY.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}

Questo cluster è ora crittografato utilizzando l'impostazione predefinita Chiave di proprietà di AWS nell'account del servizio Aurora DSQL.

Come aggiornare un cluster crittografato con una chiave gestita dal cliente per Aurora DSQL

Aggiorna il cluster crittografato, come nell’esempio seguente:



aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234

Lo EncryptionStatus della descrizione del cluster passa a UPDATING ed EncryptionType è CUSTOMER_MANAGED_KMS_KEY. Dopo che Aurora DSQL avrà terminato la propagazione della nuova chiave attraverso la piattaforma, lo stato di crittografia diventa ENABLED

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:us-east-1:kms:key/abcd1234-abcd-1234-a123-ab1234a1b234",
  "encryptionStatus" : "ENABLED"
}

Nota

Considerazioni sulla crittografia con Aurora DSQL

Aurora DSQL crittografa tutti i dati a riposo del cluster. Non è possibile disabilitare questa crittografia o crittografare solo alcuni elementi in un cluster.
AWS Backup crittografa i backup e tutti i cluster ripristinati da questi backup. È possibile crittografare i dati di backup AWS Backup utilizzando la chiave AWS proprietaria o una chiave gestita dal cliente.
Per Aurora DSQL sono stati abilitati i seguenti stati di protezione:
- Dati a riposo - Aurora DSQL crittografa tutti i dati statici su supporti di archiviazione persistenti
- Dati in transito - Aurora DSQL crittografa tutte le comunicazioni tramite Transport Layer Security (TLS) per impostazione predefinita
Quando passi a una chiave diversa, ti consigliamo di mantenere abilitata la chiave originale fino al completamento della transizione. AWS necessita della chiave originale per decrittografare i dati prima di crittografare i dati con la nuova chiave. Il processo è completo quando il encryptionStatus del cluster è ENABLED e viene visualizzata la kmsKeyArn della nuova chiave gestita dal cliente.
Quando si disabilita la chiave gestita dal cliente o si revoca l’accesso ad Aurora DSQL per l’utilizzo della chiave, lo stato del cluster diventa IDLE.
L'API SQL di Amazon Aurora Console di gestione AWS e Amazon Aurora utilizzano termini diversi per i tipi di crittografia:
- AWS Console: nella console, vedrai KMS quando usi una chiave gestita dal cliente e DEFAULT quando usi un. Chiave di proprietà di AWS
- API - L’API di Amazon Aurora DSQL utilizza CUSTOMER_MANAGED_KMS_KEY per le chiavi gestite dai clienti e AWS_OWNED_KMS_KEY per Chiavi di proprietà di AWS.
Se non si specifica una chiave di crittografia durante la creazione del cluster, Aurora DSQL crittografa automaticamente i dati utilizzando il. Chiave di proprietà di AWS
Puoi passare da una Chiave di proprietà di AWS chiave gestita dal cliente a una chiave gestita dal cliente in qualsiasi momento. Apporta questa modifica utilizzando Console di gestione AWS AWS CLI, o l'API SQL di Amazon Aurora.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Certificati SSL/TLS

Gestione dell’identità e degli accessi