客户主密钥 (CMK) 管理 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

客户主密钥 (CMK) 管理

Amazon Aurora 自动与 Amazon Key Management Service (Amazon KMS) 集成以进行密钥管理。Amazon Aurora 使用信封加密。有关信封加密的更多信息,请参阅Amazon Key Management Service开发人员指南中的信封加密

客户主密钥 (CMK) 是主密钥的逻辑表示。CMK 包含元数据,如密钥 ID、创建日期、描述和密钥状态。CMK 还包含用于加密和解密数据的密钥材料。有关客户托管 CMK 的更多信息,请参阅Amazon Key Management Service开发人员指南中的客户托管 CMK

您可以使用 Amazon KMS控制台Amazon Key Management Service (Amazon KMS)、Amazon CLI 或 Amazon KMS API 管理用于 Amazon Aurora 加密数据库集群的 CMK。要完全控制 CMK,您必须创建客户管理的 CMK。

Amazon 托管 CMK 是由与 Amazon KMS 集成的 Amazon 服务代表您在您的账户中创建、管理和使用的 CMK。您无法删除、编辑或轮换 Amazon 托管 CMK。有关 Amazon 托管 CMK 的更多信息,请参 Amazon Key Management Service 开发人员指南中的 Amazon 托管 CMK

如果快照已使用共享该快照的 Amazon 账户的 Amazon 托管 CMK 进行加密,则您无法共享该快照。

您可通过使用 Amazon CloudTrail 来查看利用 Amazon 托管或客户托管 CMK 执行的每个操作的审计日志。

重要

如果 Aurora 遇到用 Aurora 无法访问的 CMK 加密的数据库集群,则 Aurora 会使数据库集群进入最终状态。在此状态下,数据库集群不再可用,并且数据库的当前状态无法恢复。要还原数据库集群,您必须重新启用对 Aurora 的 CMK 的访问,然后从备份中还原数据库集群

授权使用 CMK

Aurora 在加密操作中使用 CMK 时,它代表创建或更改 Aurora 资源的用户执行操作。

要代表您将客户托管 CMK 用于 Aurora 资源,用户必须具有在 CMK 上调用以下操作的权限:

  • kms:GenerateDataKey

  • kms:Decrypt

您可以在密钥策略中指定这些所需权限,或者在密钥策略允许的情况下在 IAM 策略中指定这些权限。

您可以通过各种方式使 IAM 策略更严格。例如,要允许将 CMK 仅用于源自 Aurora 的请求,可将 kms:ViaService 条件键与 rds.<region>.amazonaws.com 值结合使用。

您还可以在加密上下文中将密钥或值用作将 CMK 用于加密操作的条件。