Amazon KMS key 管理
Amazon Aurora 自动与 Amazon Key Management Service (Amazon KMS) 集成以进行密钥管理。Amazon Aurora 使用信封加密。有关信封加密的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的信封加密。
Amazon KMS key 是密钥的逻辑表示。KMS 密钥包含元数据,如密钥 ID、创建日期、描述和密钥状态。KMS 密钥还包含用于加密和解密数据的密钥材料。有关 KMS 密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的 Amazon KMS keys。
您可以使用 Amazon KMS 控制台
Amazon 托管式密钥 是由与 Amazon KMS 集成的 Amazon 服务代表您在账户中创建、管理和使用的 KMS 密钥。您无法删除、编辑或轮换 Amazon 托管式密钥。有关 Amazon 托管式密钥 的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的 Amazon 托管式密钥。
如果快照已使用共享该快照的 Amazon 托管式密钥 账户的 Amazon 进行加密,则您无法共享该快照。
您可通过使用 Amazon 来查看利用 Amazon CloudTrail 托管或客户托管密钥执行的每个操作的审计日志。
如果您禁用或撤消对 RDS 数据库使用的 KMS 密钥的权限,则在需要访问 KMS 密钥时,RDS 会将数据库置于最终状态。根据需要访问 KMS 密钥的使用案例,此更改可能是立即或延迟的。在此状态下,数据库集群不再可用,并且数据库的当前状态无法恢复。要还原数据库集群,您必须重新启用对 RDS 的 KMS 密钥的访问,然后从最新的可用备份中还原数据库集群。
授权使用客户托管密钥
Aurora 在加密操作中使用客户托管式密钥时,其代表创建或更改 Aurora 资源的用户执行操作。
要代表您将客户托管密钥用于 Aurora 资源,用户必须具有在客户托管密钥上调用以下操作的权限:
-
kms:GenerateDataKey
-
kms:Decrypt
您可以在密钥策略中指定这些所需权限,或者在密钥策略允许的情况下在 IAM 策略中指定这些权限。
您可以通过各种方式使 IAM 策略更严格。例如,要允许将客户托管式密钥仅用于源自 Aurora 的请求,可将 kms:ViaService 条件键与 rds.
值结合使用。<region>
.amazonaws.com
您还可以在加密上下文中将密钥或值用作将客户托管密钥用于加密操作的条件。
有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的允许其他账户中的用户使用 KMS 密钥。