Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

使用 AWS CloudHSM Classic 存储 Amazon RDS Oracle TDE 密钥

在使用 Oracle 透明数据加密 (TDE) 时,可将 AWS CloudHSM Classic 用于运行 Oracle Enterprise Edition 的 Amazon RDS 数据库实例来存储密钥。AWS CloudHSM Classic 是一项服务,它提供称作硬件安全模块 (HSM) 的硬件设备,该设备可以执行安全的密钥存储和加密操作。通过设置 HSM 设备,设置跨服务访问的适当权限,然后设置将使用 AWS CloudHSM Classic 的 Amazon RDS 和数据库实例,可使 Amazon RDS 数据库实例使用 AWS CloudHSM Classic。

重要

请先查看以下可用性和定价信息,然后再设置 AWS CloudHSM Classic:

  • Amazon RDS 在以下区域针对 Oracle 数据库实例支持 AWS CloudHSM Classic: 美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、亚太区域(首尔)、亚太区域(新加坡)、亚太区域(悉尼)、亚太区域(东京)、欧洲(法兰克福)、欧洲(爱尔兰)。

  • AWS CloudHSM Classic 定价:

    有关 AWS CloudHSM Classic 的定价信息,请参阅 AWS CloudHSM Classic 定价页面

  • AWS CloudHSM Classic 预付费用退款 (API 和 CLI 工具):

    您每使用 CreateHsm API 操作或 create-hsm AWS CLI 命令创建一个新的 AWS CloudHSM Classic 实例,我们便会收取一笔预付费用。如果您意外预置了不需要的 HSM 实例,请先使用 DeleteHsm API 操作或 delete-hsm AWS CLI 命令删除该 HSM 实例。然后您可以申请预付费用退款,方法是在 AWS Support 中心创建一个新案例并选择账户和账单支持

在单个 AWS CloudHSM Classic 分区上可以支持的 Oracle 数据库的数目取决于您为数据选择的轮换计划。您应按照数据需求所需的频率来轮换密钥。PCI-DSS 文档美国国家标准与技术研究院 (NIST) 提供了有关合适的密钥轮换频率的指导。您可以对每个 AWS CloudHSM Classic 设备维护大约 10000 个对称主密钥。请注意,进行密钥轮换之后,旧的主密钥会保留在分区上,仍针对每个分区的最大值进行计数。

AWS CloudHSM Classic 与 Amazon Virtual Private Cloud (Amazon VPC) 结合使用。在 VPC 内,使用指定的私有 IP 地址配置设备,并为 Amazon RDS 数据库实例提供简单和私有的网络连接。您的 HSM 设备专供您使用,并且与其他 AWS 客户相隔离。有关更多信息,请参阅 Amazon Virtual Private Cloud (VPCs) 和 Amazon RDS在 VPC 中创建数据库实例

要将 AWS CloudHSM Classic 用于 Amazon RDS Oracle 数据库实例,您必须完成以下各节中详细说明的下列任务:

完成全部设置后,您应拥有以下 AWS 组件。

  • 一个 AWS CloudHSM Classic 控制实例,该实例将与使用端口 22 的 HSM 设备以及 AWS CloudHSM Classic 终端节点进行通信。AWS CloudHSM Classic 控制实例是一个 Amazon EC2 实例,它位于 HSM 所在的 VPC 中并用于管理 HSM。

  • 一个 Amazon RDS Oracle 数据库实例,该实例将与 Amazon RDS 服务终端节点以及使用端口 1792 的 HSM 设备进行通信。

 AWS CloudHSM Classic-RDS 网络