AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门。
密钥管理
您可以使用 IAM 控制台中的 AWS Key Management Service (AWS KMS) 管理用于 Amazon Aurora 加密数据库集群的密钥。若要完全控制密钥,您必须创建客户管理的密钥。
您无法删除、撤销或轮换由 AWS KMS 配置的默认密钥。如果快照已使用共享该快照的 AWS 账户的默认 AWS KMS 加密密钥进行加密,则您无法共享该快照。
您可通过使用 AWS CloudTrail 来查看利用客户管理的密钥执行的每个操作的审核日志。
重要
如果禁用加密的数据库集群的密钥,则无法对该数据库集群执行读取或写入操作。如果 Aurora 遇到用 Aurora 无法访问的密钥加密的数据库集群,则 Aurora 会使数据库集群进入最终状态。在此状态下,数据库集群不再可用,并且数据库的当前状态无法恢复。若要还原数据库集群,您必须重新启用对 Aurora 的加密密钥的访问,然后从备份还原数据库集群。