As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso no MemoryDB
Para ajudar a manter seus dados seguros, o MemoryDB e o Amazon S3 oferecem diferentes maneiras de restringir o acesso aos dados nos clusters. Para obter mais informações, consulte MemoryDB e Amazon VPC e Gerenciamento de identidade e acesso no MemoryDB.
A criptografia em repouso do MemoryDB está sempre ativada para aumentar a segurança dos dados por meio da criptografia de dados persistentes. Ele criptografa os seguintes aspectos:
-
Dados no log de transações
-
Disco durante operações de sincronização, snapshot e swap
-
Snapshots armazenados no Amazon S3
O MemoryDB oferece criptografia padrão (gerenciada pelo serviço) em repouso, bem como a capacidade de usar suas próprias chaves raiz simétricas gerenciadas pelo cliente no Key Management Service (KMS) da AWS.
Os dados armazenados em Solid-State Drives (SSDs – Unidades de estado sólido) em clusters habilitados para classificação de dados em níveis sempre são criptografados por padrão.
Para obter informações sobre criptografia em trânsito, consulte Criptografia em trânsito (TLS) do MemoryDB
Uso de chaves gerenciadas pelo cliente do KMS da AWS
O MemoryDB oferece suporte a chaves raiz simétricas gerenciadas pelo cliente (chave KMS) para criptografia em repouso. Chaves KMS gerenciadas pelo cliente são chaves de criptografia que você cria, detém e gerencia na sua conta da AWS. Para obter mais informações, consulte Chaves raiz do cliente no Guia do desenvolvedor do serviço de gerenciamento de chaves da AWS. As chaves devem ser criadas no KMS da AWS antes de poderem ser usadas com o MemoryDB.
Para saber como criar chaves de raiz do KMS da AWS, consulte Criação de chaves no Guia do desenvolvedor do serviço de gerenciamento de chaves da AWS.
O MemoryDB permite a integração com o AWS KMS. Para obter mais informações, consulte Uso de concessões no Guia do desenvolvedor do serviço de gerenciamento de chaves da AWS. Não é necessária nenhuma ação do cliente para ativar a integração do MemoryDB com o KMS da AWS.
A chave de condição kms:ViaService limita o uso de uma chave do KMS AWS para solicitações provenientes de serviços da AWS especificados. Para usar kms:ViaService com o MemoryDB, inclua os dois nomes do ViaService no valor da chave de condição: memorydb.amazon_region.amazonaws.com. Para obter mais informações, consulte kms:ViaService.
Você pode usar o AWS CloudTrail para rastrear as solicitações que o MemoryDB envia para o AWS Key Management Service em seu nome. Todas as chamadas de API para o AWS Key Management Service relacionadas a chaves gerenciadas pelo cliente têm logs do CloudTrail correspondentes. Você também pode ver as concessões que o MemoryDB cria fazendo a chamada de API do KMS ListGrants.
Quando um cluster é criptografado usando uma chave gerenciada pelo cliente, todos os snapshots do cluster são criptografados da seguinte forma:
Os snapshots diários automáticos são criptografados usando a chave gerenciada pelo cliente associada ao cluster.
O snapshot final criado quando o cluster é excluído também é criptografado usando a chave gerenciada pelo cliente associada ao cluster.
Os snapshots criados manualmente são criptografados por padrão para usar a chave KMS associada ao cluster. Você pode substituir escolhendo outra chave gerenciada pelo cliente.
A cópia de um snapshot tem como padrão o uso da chave gerenciada pelo cliente associada ao snapshot de origem. Você pode substituir escolhendo outra chave gerenciada pelo cliente.
nota
-
As chaves gerenciadas pelo cliente não podem ser usadas ao exportar snapshots para o bucket do Amazon S3 selecionado. No entanto, todos os snapshots exportados para o Amazon S3 são criptografados usando a criptografia do lado do servidor. Você pode optar por copiar o arquivo de snapshot para um novo objeto S3 e criptografar usando uma chave KMS gerenciada pelo cliente, copiar o arquivo para outro bucket S3 configurado com criptografia padrão usando uma chave KMS ou alterar uma opção de criptografia no próprio arquivo.
-
Você também pode usar chaves gerenciadas pelo cliente para criptografar snapshots criados manualmente que não usam chaves gerenciadas pelo cliente para criptografia. Com essa opção, o arquivo de snapshot armazenado no Amazon S3 é criptografado usando uma chave KMS, mesmo que os dados não sejam criptografados no cluster original.
A restauração a partir de um snapshot permite que você escolha entre as opções de criptografia disponíveis, de forma semelhante às opções de criptografia disponíveis ao criar um novo cluster.
Se você excluir a chave ou desativar a chave e revogar as concessões para a chave que usou para criptografar um cluster, o cluster se tornará irrecuperável. Em outras palavras, ele não poderá ser modificado nem recuperado depois de uma falha de hardware.AWS O KMS exclui as chaves raiz somente depois de um período de espera de pelo menos sete dias. Depois que a chave for excluída, você poderá usar uma chave gerenciada pelo cliente diferente para criar um snapshot para fins de arquivamento.
A rotação automática de chaves preserva as propriedades das chaves raiz do KMS da AWS, de modo que a rotação não afeta sua capacidade de acessar os dados do MemoryDB. Os clusters criptografados do MemoryDB não são compatíveis com a rotação manual de chaves, o que envolve a criação de uma nova chave raiz e a atualização de todas as referências à chave antiga. Para saber mais, consulte Rotação das chaves raiz do cliente no Guia do desenvolvedor do Key Management Service daAWS.
A criptografia de um cluster do MemoryDB usando a chave KMS requer uma concessão por cluster. Essa concessão é usada durante toda a vida útil do cluster. Além disso, uma concessão por snapshot é usada durante a criação do snapshot. Essa concessão é suspensa quando o snapshot é criado.
Para obter mais informações sobre concessões e limites do KMS da AWS, consulte Cotas no Guia do desenvolvedor do Key Management Service da AWS.
Consulte também
