Amazon KMS key 管理 - Amazon Aurora
授权使用客户托管密钥
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon KMS key 管理

Amazon Aurora 自动与 Amazon Key Management Service (Amazon KMS) 集成以进行密钥管理。Amazon Aurora 使用信封加密。有关信封加密的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的信封加密

Amazon KMS key 是密钥的逻辑表示。KMS 密钥包含元数据,如密钥 ID、创建日期、描述和密钥状态。KMS 密钥还包含用于加密和解密数据的密钥材料。有关 KMS 密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的 Amazon KMS keys

您可以使用 Amazon KMS 控制台Amazon Key Management Service (Amazon KMS)、Amazon CLI 或 Amazon KMS API 管理用于 Amazon Aurora 加密数据库集群的 KMS 密钥。若要完全控制 KMS 密钥,您必须创建客户托管密钥。有关客户托管密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的客户托管密钥

Amazon 托管式密钥 是由与 Amazon KMS 集成的 Amazon 服务代表您在账户中创建、管理和使用的 KMS 密钥。您无法删除、编辑或轮换 Amazon 托管式密钥。有关 Amazon 托管式密钥 的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的 Amazon 托管式密钥

如果快照已使用共享该快照的 Amazon 托管式密钥 账户的 Amazon 进行加密,则您无法共享该快照。

您可通过使用 Amazon 来查看利用 Amazon CloudTrail 托管或客户托管密钥执行的每个操作的审计日志。

重要

如果您禁用或撤消对 RDS 数据库使用的 KMS 密钥的权限,则在需要访问 KMS 密钥时,RDS 会将数据库置于最终状态。根据需要访问 KMS 密钥的使用案例,此更改可能是立即或延迟的。在此状态下,数据库集群不再可用,并且数据库的当前状态无法恢复。要还原数据库集群,您必须重新启用对 RDS 的 KMS 密钥的访问,然后从最新的可用备份中还原数据库集群

授权使用客户托管密钥

Aurora 在加密操作中使用客户托管式密钥时,其代表创建或更改 Aurora 资源的用户执行操作。

要代表您将客户托管密钥用于 Aurora 资源,用户必须具有在客户托管密钥上调用以下操作的权限:

  • kms:GenerateDataKey

  • kms:Decrypt

您可以在密钥策略中指定这些所需权限,或者在密钥策略允许的情况下在 IAM 策略中指定这些权限。

您可以通过各种方式使 IAM 策略更严格。例如,要允许将客户托管式密钥仅用于源自 Aurora 的请求,可将 kms:ViaService 条件键rds.<region>.amazonaws.com 值结合使用。

您还可以在加密上下文中将密钥或值用作将客户托管密钥用于加密操作的条件。

有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的允许其他账户中的用户使用 KMS 密钥