本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# MemoryDB 中的靜態加密
<a name="at-rest-encryption"></a>

為了協助保護您的資料安全，MemoryDB 和 Amazon S3 提供不同的方法來限制對叢集中資料的存取。如需詳細資訊，請參閱[MemoryDB 和 Amazon VPC](vpcs.md)及[MemoryDB 中的身分和存取管理](iam.md)。

MemoryDB 靜態加密一律會啟用，透過加密持久性資料來提高資料安全性。它會加密下列層面：
+ 交易日誌中的資料 
+ 同步、快照和交換操作期間的磁碟 
+ 存放在 Amazon S3 中的快照 

 MemoryDB 提供預設 （服務受管） 靜態加密，以及能夠在 [AWS Key Management Service (KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 中使用您自己的對稱客戶受管客戶根金鑰。

儲存在 SSD SSDs （固態硬碟） 上的資料在啟用資料分層的叢集中，預設一律會加密。

如需傳輸中加密的詳細資訊，請參閱[MemoryDB 中的傳輸中加密 (TLS)](in-transit-encryption.md) 

**Topics**
+ [從 AWS KMS 使用客戶受管金鑰](#using-customer-managed-keys-for-memorydb-security)
+ [另請參閱](#at-rest-encryption-see-also)

## 從 AWS KMS 使用客戶受管金鑰
<a name="using-customer-managed-keys-for-memorydb-security"></a>

MemoryDB 支援對稱客戶受管根金鑰 (KMS 金鑰） 進行靜態加密。客戶受管 KMS 金鑰是您在 AWS 帳戶中建立、擁有和管理的加密金鑰。如需詳細資訊，請參閱 *AWS Key Management Service 開發人員指南*中的[客戶根金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#root_keys)。金鑰必須先在 AWS KMS 中建立，才能與 MemoryDB 搭配使用。

若要了解如何建立 AWS KMS 根金鑰，請參閱 [Key Management Service 開發人員指南中的建立](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)*AWS 金鑰*。

MemoryDB 可讓您與 AWS KMS 整合。如需詳細資訊，請參閱 *AWS Key Management Service 開發人員指南*中的[使用授權](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。不需要客戶動作即可啟用 MemoryDB 與 AWS KMS 整合。

`kms:ViaService` 條件金鑰會將 AWS KMS 金鑰的使用限制為來自指定 AWS 服務的請求。若要`kms:ViaService`搭配 MemoryDB 使用 ，請在條件索引鍵值中包含兩個 ViaService 名稱：`memorydb.amazon_region.amazonaws.com`。如需詳細資訊，請參閱 [kms:ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)。

您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 來追蹤 MemoryDB 代表您傳送到 AWS Key Management Service 的請求。所有與客戶受管金鑰 AWS Key Management Service 相關的 API 呼叫都有對應的 CloudTrail 日誌。您也可以透過呼叫 [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html) KMS API 呼叫來查看 MemoryDB 建立的授予。

使用客戶受管金鑰加密叢集後，叢集的所有快照都會加密，如下所示：
+ 自動每日快照會使用與叢集相關聯的客戶受管金鑰進行加密。
+ 刪除叢集時建立的最終快照，也會使用與叢集相關聯的客戶受管金鑰加密。
+ 根據預設，手動建立的快照會加密，以使用與叢集相關聯的 KMS 金鑰。您可以透過選擇其他客戶受管金鑰來覆寫此選項。
+ 使用與來源快照相關聯的客戶受管金鑰，將快照預設複製到 。您可以透過選擇其他客戶受管金鑰來覆寫此選項。

**注意**  
匯出快照至您選取的 Amazon S3 儲存貯體時，無法使用客戶受管金鑰。不過，匯出至 Amazon S3 的所有快照都會使用[伺服器端加密進行加密。](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)您可以選擇將快照檔案複製到新的 S3 物件，並使用客戶受管 KMS 金鑰加密、將檔案複製到使用 KMS 金鑰以預設加密設定的另一個 S3 儲存貯體，或變更檔案本身中的加密選項。
您也可以使用客戶受管金鑰來加密未使用客戶受管金鑰進行加密的手動建立快照。使用此選項時，即使資料未在原始叢集上加密，儲存在 Amazon S3 中的快照檔案仍會使用 KMS 金鑰進行加密。
從快照還原可讓您從可用的加密選項中進行選擇，類似於建立新叢集時可用的加密選項。
+ 如果您刪除金鑰或[停用](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)金鑰，並[撤銷用於加密叢集之金鑰的授予](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)，則叢集將無法復原。換句話說，它無法在硬體故障後修改或復原。 AWS KMS 只會在等待至少七天後刪除根金鑰。刪除金鑰之後，您可以使用不同的客戶受管金鑰來建立快照以供封存之用。
+ 自動金鑰輪換會保留 AWS KMS 根金鑰的屬性，因此輪換不會影響您存取 MemoryDB 資料的能力。加密的 MemoryDB 叢集不支援手動金鑰輪換，這涉及建立新的根金鑰和更新舊金鑰的任何參考。若要進一步了解，請參閱 *AWS Key Management Service 開發人員指南*中的[輪換客戶根金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。
+ 使用 KMS 金鑰加密 MemoryDB 叢集需要每個叢集一個授權。此授予會在叢集的整個生命週期內使用。此外，在建立快照期間，每個快照會使用一個授權。此授予會在建立快照後淘汰。
+ 如需 AWS KMS 授予和限制的詳細資訊，請參閱 *AWS * [Key Management Service 開發人員指南中的配額](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html)。

## 另請參閱
<a name="at-rest-encryption-see-also"></a>
+ [MemoryDB 中的傳輸中加密 (TLS)](in-transit-encryption.md)
+ [MemoryDB 和 Amazon VPC](vpcs.md)
+ [MemoryDB 中的身分和存取管理](iam.md)