Amazon Relational Database Service (Amazon RDS) 如何使用Amazon KMS - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Relational Database Service (Amazon RDS) 如何使用Amazon KMS

您可以使用Amazon Relational Database Service (Amazon RDS)在云中设置、操作和扩展关系数据库。根据需要,您可选择加密 Amazon RDS 上存储的数据数据库实例客户主键(CMK)Amazon KMS。要了解如何加密您的 Amazon RDS 资源,请参阅Amazon KMSCMK,请参阅加密 Amazon RDS 资源中的Amazon RDS 用户指南

重要

Amazon RDS 仅支持对称 CMK。您无法使用非对称 CMK加密 Amazon RDS 数据库中的数据。要获取确定 CMK 是对称还是非对称的帮助,请参阅识别对称 CMK 和非对称 CMK

Amazon RDS 建立在Amazon Elastic Block Store (Amazon EBS) 加密为数据库卷提供全磁盘加密。有关 Amazon EBS 如何使用Amazon KMS加密卷时,请参阅Amazon Elastic Block Store (Amazon EBS) 如何使用Amazon KMS

当您使用 Amazon RDS 创建加密的数据库实例时,Amazon RDS 将代表您创建加密的 EBS 卷来存储数据库。在卷上静态存储的数据、数据库快照、自动化备份和只读副本均使用在您创建数据库实例时指定的 CMK 进行加密。

Amazon RDS 加密上下文

当 Amazon RDS 使用您的 CMK 时,或者当 Amazon EBS 代表 Amazon RDS 使用它时,该服务指定加密上下文。加密上下文为其他已经过身份验证的数据(AAD)Amazon KMS使用来确保数据完整性。在为加密操作指定加密上下文时,该服务必须为解密操作指定同一加密上下文。否则,解密将失败。加密上下文还将写至您的 Amazon CloudTrail 日志中,以帮助您了解为什么使用给定的 CMK 密钥。您的 CloudTrail 日志可能包含多个描述 CMK 使用情况的条目,但每个日志条目中的加密上下文可以帮助您确定该特定使用的原因。

至少,Amazon RDS 始终将数据库实例的 ID 用于加密上下文,如以下 JSON 格式的示例所示:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

此加密上下文可以帮助您确定使用您的 CMK 的数据库实例。

当您的 CMK 用于特定的数据库实例和特定的 EBS 卷时,数据库实例 ID 和 EBS 卷 ID 用于加密上下文,如以下 JSON 格式的示例所示:

{ "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }