为复制实例设置加密密钥

Amazon DMS 对复制实例使用的存储空间和端点连接信息进行加密。为了加密复制实例使用的存储， Amazon DMS 使用您的 Amazon 账户独有的存储。 Amazon KMS key 您可以使用 Amazon Key Management Service (Amazon KMS) 查看和管理此 KMS 密钥。您可以使用您账户（aws/dms）中的默认 KMS 密钥，也可以自行创建 KMS 密钥。如果您已有 Amazon KMS 加密密钥，也可以使用该密钥进行加密。

您可以通过提供 KMS 密钥标识符来加密您的 Amazon DMS 资源来指定自己的加密密钥。在您指定自己的加密密钥时，执行数据库迁移所用的用户账户必须具有对该密钥的访问权限。有关创建您自己的加密密钥以及向用户提供对加密密钥访问权限的更多信息，请参阅 Amazon KMS 开发人员指南。

如果您未指定 KMS 密钥标识符，则 Amazon DMS 将使用您的默认加密密钥。KMS 为您的 Amazon 账户创建 Amazon DMS 的默认加密密钥。您的 Amazon 账户在每个 Amazon 区域都有不同的默认加密密钥。

要管理用于加密 Amazon DMS 资源的密钥，可以使用。 Amazon KMS您可以 Amazon Web Services Management Console 通过 Amazon KMS 在导航窗格中搜索 KMS 来查找。

Amazon KMS 将安全、高度可用的硬件和软件相结合，提供可扩展到云端的密钥管理系统。使用 Amazon KMS，您可以创建加密密钥并定义控制如何使用这些密钥的策略。 Amazon KMS 支持 Amazon CloudTrail，因此您可以审核密钥使用情况，以验证密钥的使用是否正确。您的 Amazon KMS 密钥可以与 Amazon DMS 和其他支持的 Amazon 服务结合使用。支持的 Amazon 服务包括 Amazon RDS、Amazon S3、Amazon Elastic Block Store（Amazon EBS）和 Amazon Redshift。

使用特定加密密钥创建 Amazon DMS 资源后，您无法更改这些资源的加密密钥。在创建 Amazon DMS 资源之前，请务必确定您的加密密钥要求。