为复制实例设置加密密钥

AWS DMS 会对复制实例使用的存储以及端点连接信息进行加密。对于加密复制实例使用的存储，AWS DMS 使用在您的 AWS 账户中唯一的 AWS KMS key。您可以使用 AWS Key Management Service（AWS KMS）查看和管理此 KMS 密钥。您可以使用您账户（aws/dms）中的默认 KMS 密钥，也可以自行创建 KMS 密钥。如果有一个现有的 AWS KMS 加密密钥，也可以使用该密钥加密。

您可以通过提供 KMS 密钥标识符来加密自己的 AWS DMS 资源，从而指定自己的加密密钥。在您指定自己的加密密钥时，执行数据库迁移所用的用户账户必须具有对该密钥的访问权限。有关创建您自己的加密密钥以及向用户提供对加密密钥访问权限的更多信息，请参阅 AWS KMS 开发人员指南。

如果未指定 KMS 密钥标识符，AWS DMS 会使用默认加密密钥。KMS 为您的 AWS 账户创建 AWS DMS 的默认加密密钥。您的 AWS 账户对每个 AWS 区域具有不同的默认加密密钥。

要管理用于加密 AWS DMS 资源的密钥，请使用 AWS KMS。通过在导航窗格中搜索 KMS，您可以在 AWS 管理控制台 中查找 AWS KMS。

AWS KMS 将安全、高度可用的硬件和软件结合起来，提供可扩展到云的密钥管理系统。利用 AWS KMS，您可创建加密密钥并定义控制这些密钥的使用方式的策略。AWS KMS 支持 AWS CloudTrail，因此，您可审核密钥使用情况以验证密钥是否使用得当。您的 AWS KMS 密钥可以与 AWS DMS 和其他支持的 AWS 服务配合使用。支持的 AWS 服务包括 Amazon RDS、Amazon S3、Amazon Elastic Block Store（Amazon EBS）和 Amazon Redshift。

创建带有特定加密密钥的 AWS DMS 资源后，无法更改这些资源的加密密钥。请确保先确定加密密钥要求，然后再创建 AWS DMS 资源。