静Amazon DocumentDB 数据 - Amazon DocumentDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静Amazon DocumentDB 数据

注意

Amazon KMS 正将术语客户托管密钥 (CMK) 替换为 Amazon KMS keyKMS 密钥。这一概念并未改变。为防止破坏性更改,Amazon KMS 保留了此术语的一些变体。

您可以通过在创建集群时指定存储加密选项来在 Amazon DocumentDB 集群中加密静态数据。存储加密在整个集群范围内启用,应用于所有实例,包括主实例和任何副本。它还应用于集群的存储卷、数据、索引、日志、自动备份和快照。

Amazon DocumentDB AES-256Amazon Key Management Service(Amazon KMS)。在使用已启用静态加密的 AAmazon DocumentDB Amazon DocumentDB

Amazon DocumentDBAmazon KMS并使用称为信封加密的方法来保护您的数据。当 Amazon DocumentDB 集群使用加密Amazon KMS,Amazon DocumentDBAmazon KMS使用您的 KMS 密钥生成密文数据密钥对存储卷进行加密。密钥使用您定义的 KMS 密钥进行加密,并与加密数据和存储元数据一起存储。当 Amazon DocumentDB 需要访问您的加密数据时,它会请求Amazon KMS使用 KMS 密钥解密文数据密钥,并将明文数据密钥缓存到内存中,以高效地加密和解密存储卷中的数据。

Amazon DocumentDBAmazon Web Services 区域Amazon DocumentDB

为 Amazon DocumentDB

在 Amazon DocumentDBAmazon Web Services Management Console或者Amazon Command Line Interface(Amazon CLI)。默认情况下,您使用控制台创建的集群启用了静态加密功能。默认情况下,您使用 Amazon CLI 创建的集群禁用了静态加密功能。因此,您必须使用 --storage-encrypted 参数显式启用静态加密。无论哪种情况,在创建集群后,都无法更改静态加密选项。

Amazon DocumentDBAmazon KMS检索和管理加密密钥,并定义控制这些密钥的使用方式的策略。如果您未指定Amazon KMS密钥标识符,Amazon DocumentDB 使用默认的Amazon托管服务 KMS 密钥。Amazon DocumentDB 为每个文件创建单独的 KMS 密钥Amazon Web Services 区域在你的Amazon Web Services 账户. 有关更多信息,请参阅 Amazon Key Management Service 概念

要开始创建自己的 KMS 密钥,请参阅开始使用中的Amazon Key Management Service开发人员指南.

重要

您必须使用对称加密 KMS 密钥加密您的集群,因为 Amazon DocumentDB 请勿使用非对称 KMS 密钥,尝试对 Amazon DocumentDB 有关更多信息,请参阅 。中的非对称密钥Amazon KMS中的Amazon Key Management Service开发人员指南.

如果 Amazon DocumentDB 在此情况下,您只能从备份还原集群。对于 Amazon DocumentDB

此外,如果禁用加密的 Amazon DocumentDB 当 Amazon DocumentDB 在此状态下,集群不再可用,并且数据库的当前状态无法恢复。要还原集群,您必须重新启用对 Amazon DocumentDB

重要

在已创建加密的集群的 KMS 密钥,您无法更改它。请确保先确定您的加密密钥要求,然后再创建加密的集群。

您可在创建集群时,指定静态加密选项。默认情况下,当您使用 Amazon Web Services Management Console创建集群时,静态加密处于启用状态。集群创建之后无法修改该选项。

在创建集群时指定静态加密选项

  1. 创建 AAmazon DocumentDB开始使用部分。但在步骤 6 中,不要选择创建集群

  2. Authentication (身份验证) 部分下,选择 Show advanced settings (显示高级设置)

  3. 向下滚动到Encryption-at-rest部分。

  4. 选择要进行静态加密的选项。无论您选择哪个选项,都无法在创建集群后更改它。

    • 要对此集群中的静态数据进行加密,请选择启用加密

    • 如果您不想对此集群中的静态数据进行加密,请选择Disable encryption (禁用加密)

  5. 选择您想要的主密钥。Amazon DocumentDBAmazon Key Management Service(Amazon KMS) 检索和管理加密密钥,并定义控制这些密钥的使用方式的策略。如果您未指定Amazon KMS密钥标识符,Amazon DocumentDB 使用默认的Amazon托管服务 KMS 密钥。有关更多信息,请参阅 Amazon Key Management Service 概念

    注意

    创建加密的集群后,您无法更改该集群的 KMS 密钥。请确保先确定您的加密密钥要求,然后再创建加密的集群。

  6. 根据需要完成其他部分,然后创建您的集群。

使用加密 Amazon DocumentDB 集群Amazon CLI,则必须指定--storage-encrypted选项在创建集群时使用。使用创建的 Amazon DocumentDB 集群Amazon CLI默认情况下不启用存储加密。

以下示例创建启用了存储加密的 AAmazon DocumentDB

对于 Linux、macOS 或 Unix:

aws docdb create-db-cluster \ --db-cluster-identifier sample-cluster \ --port 27017 \ --engine docdb \ --master-username yourMasterUsername \ --master-user-password yourMasterPassword \ --storage-encrypted

对于 Windows:

aws docdb create-db-cluster ^ --db-cluster-identifier sample-cluster ^ --port 27017 ^ --engine docdb ^ --master-username yourMasterUsername ^ --master-user-password yourMasterPassword ^ --storage-encrypted

在创建加密的 Amazon DocumentDBAmazon KMS密钥标识符,如以下示例所示。

对于 Linux、macOS 或 Unix:

aws docdb create-db-cluster \ --db-cluster-identifier sample-cluster \ --port 27017 \ --engine docdb \ --master-username yourMasterUsername \ --master-user-password yourMasterPassword \ --storage-encrypted \ --kms-key-id key-arn-or-alias

对于 Windows:

aws docdb create-db-cluster ^ --db-cluster-identifier sample-cluster ^ --port 27017 ^ --engine docdb ^ --master-username yourMasterUsername ^ --master-user-password yourMasterPassword ^ --storage-encrypted ^ --kms-key-id key-arn-or-alias
注意

创建加密的集群后,您无法更改该集群的 KMS 密钥。请确保先确定您的加密密钥要求,然后再创建加密的集群。

Amazon DocumentDB

Amazon DocumentDB

  • 您只能在创建集群Amazon DocumentDB 在创建之后启用或禁用静态加密。但是,您可以通过创建未加密的集群的快照,然后将未加密的快照还原为新集群,同时指定静态加密选项,来创建未加密的集群的加密副本。

    有关更多信息,请参阅以下主题:

  • 不能通过对已启用存储加密的 Amazon DocumentDB

  • Amazon DocumentDB