Amazon Aurora
Aurora 用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

加密 Amazon Aurora 资源

您可通过为 Amazon Aurora 数据库集群启用加密选项来对静态 Amazon Aurora 数据库集群和快照进行加密。静态加密的数据包括数据库集群的基础存储、其自动化备份、只读副本和快照。

Amazon Aurora 加密的数据库集群使用行业标准 AES-256 加密算法来对托管 Amazon Aurora 数据库集群的服务器上的数据进行加密。在加密数据后,Amazon Aurora 将以透明方式处理访问的身份验证和数据的解密,并且对性能产生的影响最小。您无需修改数据库客户端应用程序来使用加密。

注意

对于加密和未加密数据库集群,将对在源与只读副本之间发送的数据进行加密,即使在 AWS 区域之间复制时也是如此。

Amazon Aurora 资源加密概览

Amazon Aurora 加密的数据库集群通过保护您的数据免受未经授权的访问来为基础存储提供额外一层数据保护。您可以使用 Amazon Aurora 加密来增强云中部署的应用程序的数据保护,并满足静态数据加密的合规性要求。

要管理用于加密和解密 Amazon Aurora 资源的密钥,您可以使用 AWS Key Management Service (AWS KMS) 。AWS KMS 将安全、高度可用的硬件和软件结合起来,提供可扩展到云的密钥管理系统。利用 AWS KMS,您可创建加密密钥并定义控制这些密钥的使用方式的策略。AWS KMS 支持 CloudTrail,因此,您可审核密钥使用情况以验证密钥是否使用得当。您可将 AWS KMS 密钥与 Amazon Aurora 和支持的 AWS 服务(例如 Amazon S3、Amazon EBS 和 Amazon Redshift)结合使用。有关支持 AWS KMS 的服务的列表,请参阅 AWS Key Management Service 开发人员指南 中的支持的服务

对于 Amazon Aurora 加密的数据库集群,所有日志、备份和快照均会被加密。您还可以对已加密的 Amazon Aurora 集群的只读副本进行加密。只读副本的加密受 AWS 区域的 KMS 主密钥保护。

为 Amazon Aurora 数据库集群启用加密

要为新数据库集群启用加密,请在控制台上选择 Enable encryption (启用加密)。​有关创建数据库集群的信息,请参阅创建 Amazon Aurora 数据库集群

如果使用 create-db-cluster AWS CLI 命令创建加密的数据库集群,请将 --storage-encrypted 参数设置为 true。如果使用 CreateDBCluster API 操作,请将 StorageEncrypted 参数设置为 true。

在创建加密的数据库集群时,还可为加密密钥提供 AWS KMS 密钥标识符。如果您没有指定 AWS KMS 密钥标识符,则 Amazon Aurora 将对您的新数据库集群使用您的默认加密密钥。AWS KMS 为您的 AWS 账户创建 Amazon Aurora 的默认加密密钥。您的 AWS 账户在每个 AWS 区域都有一个不同的默认加密密钥。

创建加密的数据库集群后,您无法更改该数据库集群使用的加密密钥的类型。因此,请确保先确定您的加密密钥要求,然后再创建加密的数据库集群。

如果使用 AWS CLI create-db-cluster 命令创建加密的数据库集群,请将 --kms-key-id 参数设置为该数据库集群的 KMS 密钥的 Amazon 资源名称 (ARN)。如果使用 RDS API CreateDBCluster 操作,请将 KmsKeyId 参数设置为该数据库实例的 KMS 密钥的 ARN。

可使用另一个账户中的密钥的 ARN 来加密数据库集群。您也可以使用拥有用于加密新数据库集群的 KMS 加密密钥的同一 AWS 账户创建数据库集群。在此情况下,您传递的 KMS 密钥 ID 可能是 KMS 密钥别名而不是密钥的 ARN。

重要

在某些情况下,Amazon Aurora 可能无法访问数据库集群的加密密钥。例如,当撤销对密钥的 RDS 访问权限时,Aurora 将失去访问权限。在这些情况下,加密的数据库集群将进入终端状态,您只能从备份还原数据库集群。强烈建议您始终对加密的数据库集群启用备份以防止数据库中的加密数据丢失。

Amazon Aurora 加密的可用性

Amazon Aurora 加密当前可用于所有数据库引擎和存储类型。

注意

Amazon Aurora 加密不适用于 db.t2.micro 数据库实例类。

Amazon Aurora 加密的数据库集群的限制

Amazon Aurora 加密的数据库集群存在以下限制:

  • 不能将已加密的数据库集群修改为禁用加密。

  • 您无法将未加密的数据库集群转换为加密的数据库集群。但是,您可以将未加密的 Aurora 数据库集群快照还原为加密的 Aurora 数据库集群。为此,请在从未加密的数据库集群快照还原时指定 KMS 加密密钥。

  • 您无法从未加密的 Aurora 数据库集群创建已加密的 Aurora 副本。您无法从加密的 Aurora 数据库集群创建未加密的 Aurora 副本。

  • 要将已加密快照从一个 AWS 区域复制到另一个 AWS 区域,您必须指定目标 AWS 区域的 KMS 密钥标识符。这是因为 KMS 加密密钥特定于在其中创建该密钥的 AWS 区域。

    源快照在复制过程中保持加密状态。AWS Key Management Service 使用信封加密在复制过程中保护数据。有关信封加密的更多信息,请参阅信封加密