AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon Relational Database Service (Amazon RDS) 如何使用 AWS KMS

您可以使用 Amazon Relational Database Service (Amazon RDS) 在云中设置、操作和扩展关系数据库。根据需要,您可选择使用 AWS KMS 中的客户主密钥 (CMK) 为 Amazon RDS 数据库实例上存储的数据加密。要了解如何使用 KMS CMK 为您的 Amazon RDS 资源加密,请参阅 Amazon RDS 用户指南 中的加密 Amazon RDS 资源

Amazon RDS 建立在 Amazon Elastic Block Store (Amazon EBS) 加密的基础上,可为数据库卷提供全磁盘加密。有关 Amazon EBS 如何使用 AWS KMS 加密卷的更多信息,请参阅 Amazon Elastic Block Store (Amazon EBS) 如何使用 AWS KMS

当您使用 Amazon RDS 创建加密的数据库实例时,Amazon RDS 将代表您创建加密的 EBS 卷来存储数据库。该卷上静态存储的数据、数据库快照、自动化备份和只读副本均使用在您创建数据库实例时指定的 KMS CMK 进行加密。

Amazon RDS 加密上下文

当 Amazon RDS 使用您的 KMS CMK 时,或者当 Amazon EBS 代表 Amazon RDS 使用它时,该服务指定加密上下文。加密上下文是 AWS KMS 为确保数据完整性而使用的额外的身份验证数据 (AAD)。在为加密操作指定加密上下文时,该服务必须为解密操作指定同一加密上下文。否则,解密将失败。加密上下文还将写至您的 AWS CloudTrail 日志中,以帮助您了解为什么使用给定的 CMK 密钥。您的 CloudTrail 日志可能包含多个描述 CMK 使用情况的条目,但每个日志条目中的加密上下文可以帮助您确定该特定使用的原因。

至少,Amazon RDS 始终将数据库实例的 ID 用于加密上下文,如以下 JSON 格式的示例所示:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

此加密上下文可以帮助您确定使用您的 CMK 的数据库实例。

当您的 CMK 用于特定的数据库实例和特定的 EBS 卷时,数据库实例 ID 和 EBS 卷 ID 用于加密上下文,如以下 JSON 格式的示例所示:

{ "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }

本页内容: