Amazon Aurora DSQL 的資料加密 - Amazon Aurora DSQL
KMS 金鑰類型靜態加密使用 KMS 和資料金鑰授權您的 KMS 金鑰加密內容監控 AWS KMS建立加密的叢集移除或更新金鑰考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Aurora DSQL 的資料加密

Amazon Aurora DSQL 會加密所有靜態使用者資料。為了增強安全性,此加密會使用 AWS Key Management Service (AWS KMS)。此功能協助降低了保護敏感資料所涉及的操作負擔和複雜性。靜態加密可協助您:

  • 減少保護敏感資料的操作負擔

  • 建置符合嚴格加密合規和法規要求的安全敏感應用程式

  • 一律保護加密叢集中的資料,以新增多一層的資料保護

  • 遵守組織政策、產業或政府法規,以及合規要求

使用 Aurora DSQL,您可以建置安全敏感的應用程式,以滿足嚴格的加密合規性和法規要求。下列各節說明如何為新的和現有的 Aurora DSQL 資料庫設定加密,並管理您的加密金鑰。

Aurora DSQL 的 KMS 金鑰類型

Aurora DSQL 與 整合 AWS KMS ,以管理叢集的加密金鑰。若要進一步了解金鑰類型和狀態,請參閱《 AWS Key Management Service 開發人員指南》中的AWS Key Management Service 概念。建立新叢集時,您可以選擇下列 KMS 金鑰類型來加密叢集:

AWS 擁有的金鑰

預設加密類型。Aurora DSQL 擁有金鑰,您無需支付額外費用。當您存取加密的叢集時,Amazon Aurora DSQL 會透明地解密叢集資料。您不需要變更程式碼或應用程式,即可使用或管理加密的叢集,而且所有 Aurora DSQL 查詢都適用於您的加密資料。

客戶受管金鑰

您可以在 中建立、擁有和管理金鑰 AWS 帳戶。您可以完全控制 KMS 金鑰。需支付 AWS KMS 費用。

使用 AWS 擁有的金鑰 進行靜態加密無需額外費用。不過, AWS KMS 費用適用於客戶受管金鑰。如需詳細資訊,請參閱 AWS KMS 定價頁面。

您可以隨時在這些金鑰類型之間切換。如需金鑰類型的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南AWS 擁有的金鑰中的客戶受管金鑰和 。

注意

Aurora DSQL 靜態加密可用於可使用 Aurora DSQL 的所有 AWS 區域。

Aurora DSQL 中的靜態加密

Amazon Aurora DSQL 使用 256 位元進階加密標準 (AES-256) 來加密靜態資料。此加密有助於保護您的資料免於未經授權存取基礎 storage。 會 AWS KMS 管理叢集的加密金鑰。您可以使用預設 AWS 擁有的金鑰,或選擇使用您自己的 AWS KMS 客戶受管金鑰。若要進一步了解如何指定和管理 Aurora DSQL 叢集的金鑰,請參閱 建立加密的 Aurora DSQL 叢集移除或更新 Aurora DSQL 叢集的金鑰

AWS 擁有的金鑰

Aurora DSQL 預設會使用 加密所有叢集 AWS 擁有的金鑰。這些金鑰每年可免費使用和輪換,以保護您的帳戶資源。您不需要檢視、管理、使用或稽核這些金鑰,因此資料保護不需要採取任何動作。如需 的詳細資訊 AWS 擁有的金鑰,請參閱《 AWS Key Management Service 開發人員指南AWS 擁有的金鑰中的 。

客戶受管金鑰

您可以在 中建立、擁有和管理客戶受管金鑰 AWS 帳戶。您可以完全控制這些 KMS 金鑰,包括其政策、加密資料、標籤和別名。如需管理許可的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的客戶受管金鑰

當您為叢集層級加密指定客戶受管金鑰時,Aurora DSQL 會使用該金鑰加密叢集及其所有區域資料。為了防止資料遺失和維護叢集存取,Aurora DSQL 需要存取您的加密金鑰。如果您停用客戶受管金鑰、排程刪除金鑰,或具有限制服務存取的政策,叢集的加密狀態會變更為 KMS_KEY_INACCESSIBLE。當 Aurora DSQL 無法存取金鑰時,使用者無法連線至叢集、叢集的加密狀態變更為 KMS_KEY_INACCESSIBLE,且服務無法存取叢集資料。

對於多區域叢集,客戶可以分別設定每個區域的 AWS KMS 加密金鑰,而每個區域叢集會使用自己的叢集層級加密金鑰。如果 Aurora DSQL 無法存取多區域叢集中對等的加密金鑰,該對等的狀態KMS_KEY_INACCESSIBLE會變成無法使用,無法進行讀取和寫入操作。其他對等繼續正常操作。

注意

如果 Aurora DSQL 無法存取您的客戶受管金鑰,您的叢集加密狀態會變更為 KMS_KEY_INACCESSIBLE。還原金鑰存取後,服務會在 15 分鐘內自動偵測還原。如需詳細資訊,請參閱叢集閒置。

對於多區域叢集,如果長時間遺失金鑰存取,則叢集還原時間取決於無法存取金鑰時寫入的資料量。

搭配 Aurora DSQL 使用 AWS KMS 和 資料金鑰

Aurora DSQL 靜態加密功能使用 AWS KMS key 和資料金鑰階層來保護您的叢集資料。

建議您在 Aurora DSQL 中實作叢集之前,先規劃加密策略。如果您在 Aurora DSQL 中存放敏感或機密資料,請考慮在您的計劃中包含用戶端加密。如此一來,您就能盡量靠近資料來源進行加密,並確保資料在整個生命週期受到保護。

AWS KMS key搭配 Aurora DSQL 使用

靜態加密可在 下保護您的 Aurora DSQL 叢集 AWS KMS key。根據預設,Aurora DSQL 會使用 AWS 擁有的金鑰,這是在 Aurora DSQL 服務帳戶中建立和管理的多租用戶加密金鑰。但是,您可以在 中的客戶受管金鑰下加密 Aurora DSQL 叢集 AWS 帳戶。您可以為每個叢集選取不同的 KMS 金鑰,即使其參與多區域設定。

當您建立或更新叢集時,請選取叢集的 KMS 金鑰。您可以隨時在 Aurora DSQL 主控台或使用 UpdateCluster操作變更叢集的 KMS 金鑰。切換金鑰的程序不需要停機或降級服務。

重要

Aurora DSQL 僅支援對稱 KMS 金鑰。您無法使用非對稱 KMS 金鑰來加密 Aurora DSQL 叢集。

客戶受管金鑰提供下列優點。

  • 您可以建立和管理 KMS 金鑰,包括設定金鑰政策和 IAM 政策來控制對 KMS 金鑰的存取。您可以啟用和停用 KMS 金鑰、啟用和停用自動金鑰輪換,以及於不再使用時刪除 KMS 金鑰。

  • 您可以搭配匯入的金鑰材料使用客戶受管金鑰,或是使用位於您所擁有及管理自訂金鑰存放區中的客戶受管金鑰。

  • 您可以在 AWS CloudTrail 日誌 AWS KMS 中檢查對 的 Aurora DSQL API 呼叫,以稽核 Aurora DSQL 叢集的加密和解密。

不過, AWS 擁有的金鑰 是免費的,而且其使用不會計入 AWS KMS 資源或請求配額。客戶受管金鑰會針對每個 API 呼叫產生費用,而 AWS KMS 配額會套用至這些金鑰。

搭配 Aurora DSQL 使用叢集金鑰

Aurora DSQL 使用叢集 AWS KMS key 的 來產生和加密叢集的唯一資料金鑰,稱為叢集金鑰

叢集金鑰用作金鑰加密金鑰。Aurora DSQL 使用此叢集金鑰來保護用於加密叢集資料的資料加密金鑰。Aurora DSQL 會為叢集中的每個基礎結構產生唯一的資料加密金鑰,但多個叢集項目可能受到相同的資料加密金鑰保護。

若要解密叢集金鑰,Aurora DSQL 會在您第一次存取加密的叢集 AWS KMS 時傳送請求至 。為了讓叢集保持可用,Aurora DSQL 會定期驗證對 KMS 金鑰的解密存取,即使您未主動存取叢集也一樣。

Aurora DSQL 會在 外部存放和使用叢集金鑰和資料加密金鑰 AWS KMS。它使用進階加密標準 (AES) 加密和 256 位元加密金鑰來保護所有金鑰。然後,它會將加密的金鑰與加密的資料一起存放,以便它們可以隨需解密叢集資料。

如果您變更叢集的 KMS 金鑰,Aurora DSQL 會使用新的 KMS 金鑰重新加密現有的叢集金鑰。

叢集金鑰快取

為了避免 AWS KMS 針對每個 Aurora DSQL 操作呼叫 ,Aurora DSQL 會快取記憶體中每個呼叫者的純文字叢集金鑰。如果 Aurora DSQL 在閒置 15 分鐘後收到快取叢集金鑰的請求,它會將新的請求傳送至 AWS KMS 以解密叢集金鑰。在上次請求解密叢集金鑰之後,此呼叫將擷取對 AWS KMS 或 AWS Identity and Access Management (IAM) AWS KMS key 中 存取政策所做的任何變更。

授權使用 AWS KMS key 適用於 Aurora DSQL 的

如果您使用帳戶中的客戶受管金鑰來保護 Aurora DSQL 叢集,則該金鑰上的政策必須授予 Aurora DSQL 代表您使用它的許可。

您可以完全控制客戶受管金鑰上的政策。Aurora DSQL 不需要額外的授權,即可使用預設值 AWS 擁有的金鑰 來保護您 中的 Aurora DSQL 叢集 AWS 帳戶。

客戶受管金鑰的金鑰政策

當您選取客戶受管金鑰來保護 Aurora DSQL 叢集時,Aurora DSQL 需要 AWS KMS key 代表進行選取之主體使用 的許可。該委託人、使用者或角色必須擁有 AWS KMS key Aurora DSQL 所需的 許可。您可以在金鑰政策或 IAM 政策中提供這些許可。

Aurora DSQL 至少需要客戶受管金鑰的下列許可:

  • kms:Encrypt

  • kms:Decrypt

  • kms:ReEncrypt* (適用於 kms:ReEncryptFrom 和 kms:ReEncryptTo)

  • kms:GenerateDataKey

  • kms:DescribeKey

例如,以下範例金鑰政策只會提供必要許可。政策具有下列效果:

  • 允許 Aurora DSQL 在密碼編譯操作 AWS KMS key 中使用 ,但僅限於代表帳戶中有權使用 Aurora DSQL 的主體時。如果政策陳述式中指定的委託人沒有使用 Aurora DSQL 的許可,呼叫會失敗,即使它來自 Aurora DSQL 服務。

  • kms:ViaService 條件金鑰只有在請求來自 Aurora DSQL 時,才允許 許可,代表政策陳述式中列出的委託人。這些委託人無法直接呼叫這些操作。

  • 授予 AWS KMS key 管理員 (可擔任db-team角色的使用者) 對 的唯讀存取權 AWS KMS key

使用範例金鑰政策之前,請將範例主體取代為來自您 的實際主體 AWS 帳戶。

{
  "Sid": "Enable dsql IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey",
    "kms:Encrypt",
    "kms:ReEncryptFrom",
    "kms:ReEncryptTo"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:dsql:ClusterId": "w4abucpbwuxx",
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
},
{
  "Sid": "Enable dsql IAM User Describe Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
}

Aurora DSQL 加密內容

加密內容是一組金鑰/值對,其中包含任意非私密資料。當您在加密資料的請求中包含加密內容時, AWS KMS 會以加密方式將加密內容繫結至加密的資料。若要解密資料,您必須傳遞相同的加密內容。

Aurora DSQL 在所有 AWS KMS 密碼編譯操作中使用相同的加密內容。如果您使用客戶受管金鑰來保護 Aurora DSQL 叢集,您可以使用加密內容來識別在稽核記錄和日誌 AWS KMS key 中使用 。它也會以純文字顯示在日誌中,例如 中的日誌 AWS CloudTrail。

加密內容也可以用作政策中授權的條件。

在其對 的請求中 AWS KMS,Aurora DSQL 會使用具有金鑰/值對的加密內容:


"encryptionContext": {
  "aws:dsql:ClusterId": "w4abucpbwuxx"
},

鍵/值對可識別 Aurora DSQL 正在加密的叢集。金鑰為 aws:dsql:ClusterId。值是叢集的識別符。

監控 Aurora DSQL 與 的互動 AWS KMS

如果您使用客戶受管金鑰來保護 Aurora DSQL 叢集,您可以使用 AWS CloudTrail 日誌來追蹤 Aurora DSQL AWS KMS 代表您傳送到 的請求。

展開下列各節,以了解 Aurora DSQL 如何使用 AWS KMS 操作GenerateDataKeyDecrypt

當您在叢集上啟用靜態加密時,Aurora DSQL 會建立唯一的叢集金鑰。它會將GenerateDataKey請求傳送至 AWS KMS ,以指定叢集的 AWS KMS key 。

記錄 GenerateDataKey 操作的事件類似於以下範例事件。使用者是 Aurora DSQL 服務帳戶。參數包括 的 Amazon Resource Name (ARN) AWS KMS key、需要 256 位元金鑰的金鑰指標,以及識別叢集的加密內容。

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "dsql.amazonaws.com"
    },
    "eventTime": "2025-05-16T18:41:24Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "dsql.amazonaws.com",
    "userAgent": "dsql.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:dsql:ClusterId": "w4abucpbwuxx"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
    },
    "responseElements": null,
    "requestID": "2da2dc32-d3f4-4d6c-8a41-aff27cd9a733",
    "eventID": "426df0a6-ba56-3244-9337-438411f826f4",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "f88e0dd8-6057-4ce0-b77d-800448426d4e",
    "vpcEndpointId": "AWS Internal",
    "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
    "eventCategory": "Management"
}

當您存取加密的 Aurora DSQL 叢集時,Aurora DSQL 需要解密叢集金鑰,以便在階層中解密其下方的金鑰。然後,它會解密叢集中的資料。若要解密叢集金鑰,Aurora DSQL 會傳送Decrypt請求至 AWS KMS ,以指定叢集 AWS KMS key 的 。

記錄 Decrypt 操作的事件類似於以下範例事件。使用者是 中存取叢集的委託 AWS 帳戶 人。這些參數包括加密的叢集金鑰 (做為加密文字 Blob) 和可識別叢集的加密內容。 會從加密文字 AWS KMS 衍生 的 AWS KMS key ID。

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AWSService",
    "invokedBy": "dsql.amazonaws.com"
  },
  "eventTime": "2018-02-14T16:42:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "dsql.amazonaws.com",
  "userAgent": "dsql.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "encryptionContext": {
      "aws:dsql:ClusterId": "w4abucpbwuxx"
    },
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "11cab293-11a6-11e8-8386-13160d3e5db5",
  "eventID": "b7d16574-e887-4b5b-a064-bf92f8ec9ad3",
  "readOnly": true,
  "resources": [
    {
      "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "accountId": "AWS Internal",
      "type": "AWS::KMS::Key"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "sharedEventID": "d99f2dc5-b576-45b6-aa1d-3a3822edbeeb",
  "vpcEndpointId": "AWS Internal",
  "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
  "eventCategory": "Management"
}

建立加密的 Aurora DSQL 叢集

所有 Aurora DSQL 叢集都會靜態加密。根據預設,叢集 AWS 擁有的金鑰 可免費使用 ,或者您可以指定自訂 AWS KMS 金鑰。請依照下列步驟,從 AWS Management Console 或 建立您的加密叢集 AWS CLI。

Console
在 中建立加密叢集 AWS Management Console

  1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/dsql/ 開啟 Aurora DSQL 主控台。

  2. 在主控台左側的導覽窗格中,選擇叢集

  3. 選擇右上角的建立叢集,然後選取單一區域

  4. 叢集加密設定中,選擇下列其中一個選項。

    • 接受預設設定以使用 AWS 擁有的金鑰 加密,無需額外費用。

    • 選取自訂加密設定 (進階) 以指定自訂 KMS 金鑰。然後,搜尋或輸入 KMS 金鑰的 ID 或別名。或者,選擇建立 AWS KMS 金鑰以在 AWS KMS 主控台中建立新的金鑰。

  5. 選擇 建立叢集

若要確認叢集的加密類型,請導覽至叢集頁面,然後選取叢集的 ID 以檢視叢集詳細資訊。檢閱叢集設定索引標籤 叢集 KMS 金鑰設定顯示 Aurora DSQL 預設金鑰,適用於使用 AWS 擁有的金鑰或其他加密類型的金鑰 ID 的叢集。

注意

如果您選擇擁有和管理自己的金鑰,請務必適當地設定 KMS 金鑰政策。如需範例和詳細資訊,請參閱 客戶受管金鑰的金鑰政策

CLI
建立使用預設 加密的叢集 AWS 擁有的金鑰

  • 使用下列命令來建立 Aurora DSQL 叢集。

    aws dsql create-cluster

如下列加密詳細資訊所示,叢集的加密狀態預設為啟用,預設加密類型為 AWS 擁有的金鑰。叢集現在已使用 Aurora DSQL 服務帳戶中的預設 AWS 擁有金鑰加密。

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}
建立使用客戶受管金鑰加密的叢集

  • 使用下列命令來建立 Aurora DSQL 叢集,以客戶受管金鑰的 ID 取代紅色文字的金鑰 ID。

    aws dsql create-cluster \
--kms-encryption-key d41d8cd98f00b204e9800998ecf8427e

如下列加密詳細資訊所示,叢集的加密狀態預設為啟用,加密類型為客戶受管 KMS 金鑰。叢集現在已使用您的 金鑰加密。

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:kms:us-east-1:111122223333:key/d41d8cd98f00b204e9800998ecf8427e",
  "encryptionStatus" : "ENABLED"
}

移除或更新 Aurora DSQL 叢集的金鑰

您可以使用 AWS Management Console 或 AWS CLI 來更新或移除 Amazon Aurora DSQL 中現有叢集上的加密金鑰。如果您移除金鑰但未取代,Aurora DSQL 會使用預設的 AWS 擁有的金鑰。請依照下列步驟,從 Aurora DSQL 主控台或 更新現有叢集的加密金鑰 AWS CLI。

Console
在 中更新或移除加密金鑰 AWS Management Console

  1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/dsql/ 開啟 Aurora DSQL 主控台。

  2. 在主控台左側的導覽窗格中,選擇叢集

  3. 從清單檢視中,尋找並選取您要更新的叢集資料列。

  4. 選取動作功能表,然後選擇修改

  5. 叢集加密設定中,選擇下列其中一個選項來修改您的加密設定。

    • 如果您想要從自訂金鑰切換至 AWS 擁有的金鑰,請取消選取自訂加密設定 (進階) 選項。預設設定將 AWS 擁有的金鑰 免費使用 套用和加密您的叢集。

    • 如果您想要從一個自訂 KMS 金鑰切換到另一個,或從 切換 AWS 擁有的金鑰 到 KMS 金鑰,如果尚未選取自訂加密設定 (進階) 選項,請選取此選項。然後,搜尋並選取您要使用的金鑰 ID 或別名。或者,選擇建立 AWS KMS 金鑰以在主控台中 AWS KMS 建立新的金鑰。

  6. 選擇儲存

CLI

下列範例示範如何使用 AWS CLI 更新加密叢集。

使用預設值更新加密叢集 AWS 擁有的金鑰


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key "AWS_OWNED_KMS_KEY"

叢集描述EncryptionStatus的 設定為 ENABLED,而 EncryptionTypeAWS_OWNED_KMS_KEY

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}

此叢集現在已使用 AWS 擁有的金鑰 Aurora DSQL 服務帳戶中的預設值加密。

使用 Aurora DSQL 的客戶受管金鑰更新加密叢集

更新加密叢集,如下列範例所示:


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234

叢集描述EncryptionStatus的 會轉換為 UPDATING,而 EncryptionTypeCUSTOMER_MANAGED_KMS_KEY。Aurora DSQL 透過平台完成傳播新金鑰後,加密狀態將轉換為 ENABLED

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:us-east-1:kms:key/abcd1234-abcd-1234-a123-ab1234a1b234",
  "encryptionStatus" : "ENABLED"
}
注意

如果您選擇擁有和管理自己的金鑰,請務必適當地設定 KMS 金鑰政策。如需範例和詳細資訊,請參閱 客戶受管金鑰的金鑰政策

使用 Aurora DSQL 加密的考量事項

  • Aurora DSQL 會加密所有靜態叢集資料。您無法停用此加密,或僅加密叢集中的某些項目。

  • AWS Backup 會加密您的備份,以及從這些備份還原的任何叢集。您可以使用 AWS 擁有 AWS Backup 的金鑰或客戶受管金鑰,在 中加密備份資料。

  • 已針對 Aurora DSQL 啟用下列資料保護狀態:

    • 靜態資料 - Aurora DSQL 會加密持久性儲存媒體上的所有靜態資料

    • 傳輸中資料 - Aurora DSQL 預設會使用 Transport Layer Security (TLS) 加密所有通訊

  • 當您轉換到不同的金鑰時,我們建議您將原始金鑰保持啟用狀態,直到轉換完成為止。 AWS 需要原始金鑰來解密資料,才能使用新的金鑰加密您的資料。當叢集的 encryptionStatusENABLED且您看到新客戶受管金鑰kmsKeyArn的 時,程序即完成。

  • 當您停用客戶受管金鑰或撤銷 Aurora DSQL 使用金鑰的存取權時,您的叢集將進入 IDLE 狀態。

  • AWS Management Console 和 Amazon Aurora DSQL API 對加密類型使用不同的術語:

    • AWS 主控台 – 在主控台中,您會KMS在使用客戶受管金鑰和使用 DEFAULT時看到 AWS 擁有的金鑰。

    • API – Amazon Aurora DSQL API CUSTOMER_MANAGED_KMS_KEY用於客戶受管金鑰和 AWS_OWNED_KMS_KEY AWS 擁有的金鑰。

  • 如果您在叢集建立期間未指定加密金鑰,Aurora DSQL 會使用 自動加密您的資料 AWS 擁有的金鑰。

  • 您可以隨時在 AWS 擁有的金鑰 和客戶受管金鑰之間切換。使用 AWS Management Console AWS CLI或 Amazon Aurora DSQL API 進行此變更。