MemoryDB 中的静态加密 - 适用于 Redis 的 Amazon MemoryDB
使用 Amazon KMS 中的客户托管式密钥另请参阅
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

MemoryDB 中的静态加密

为了帮助保护您的数据,MemoryDB for Redis 和 Amazon S3 提供了不同的方法来限制对集群中的数据的访问。有关更多信息,请参阅 MemoryDB 和 Amazon VPCMemoryDB for Redis 中的身份和访问管理

MemoryDB 静态加密始终通过加密永久数据来提高数据安全性。它对以下方面进行加密:

  • 事务日志中的数据

  • 同步、快照和交换操作期间的磁盘

  • 存储在 Amazon S3 中的快照

MemoryDB 提供默认(托管服务)的静态加密,以及在Amazon密钥管理服务 (KMS) 中使用您自己的对称客户托管式根密钥的功能。

在预设情况下,在启用数据分层的集群中存储在 SSD(固态硬盘)上的数据始终加密。

有关传输中加密的信息,请参阅MemoryDB 传输中加密(TLS)

使用 Amazon KMS 中的客户托管式密钥

MemoryDB 支持对称的客户托管式根密钥(KMS 密钥),用于静态加密。客户托管式 KMS 密钥是您在自己的 Amazon 账户中创建、拥有并管理的加密密钥。有关更多信息,请参阅Amazon秘钥管理服务开发人员指南中的客户根密钥。必须先在 Amazon KMS 中创建密钥,然后才能将其与 MemoryDB 一起使用。

要了解如何创建 Amazon KMS 根密钥,请参阅 Amazon Key Management Service 开发人员指南中的创建密钥

MemoryDB 允许您与 Amazon KMS 集成。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用授权。无需任何客户操作即可实现 MemoryDB 与 Amazon KMS 的集成。

kms:ViaService 条件键将Amazon KMS 密钥的使用限制为来自指定的 Amazon 服务的请求。要将 kms:ViaService 与 MemoryDB 结合使用,请将两个 ViaService 名称包含在条件键值中:memorydb.amazon_region.amazonaws.com。有关更多信息,请参阅 kms:ViaService

您可以使用 AmazonCloudTrail 来跟踪 MemoryDB for Redis 代表您向 Amazon Key Management Service 发送的请求。对 Amazon Key Management Service 发出的与客户托管式密钥相关的所有 API 调用都具有相应的 CloudTrail 日志。您还可以通过调用 ListGrants KMS API 调用来查看 MemoryDB 创建的授权。

使用客户托管式密钥对集群进行加密后,集群的所有快照均将按如下方式进行加密:

  • 使用与集群关联的客户托管式密钥对每日自动快照进行加密。

  • 删除集群时创建的最终快照也使用与集群关联的客户托管式密钥进行加密。

  • 默认情况下,使用与集群关联的密钥对手动创建的快照进行加密。您可以通过选择其他客户托管式密钥来覆此行为。

  • 复制快照将默认使用与源快照关联的客户托管式密钥。您可以通过选择其他客户托管式密钥来覆此行为。

注意

  • 将快照导出到所选的 Amazon S3 存储桶时,无法使用客户托管式密钥。但是,导出到 Amazon S3 的所有快照都将使用服务器端加密进行加密。您可以选择将快照文件复制到新的 S3 对象并使用客户托管式 KMS 密钥进行加密,将文件复制到使用 KMS 密钥通过默认加密设置的另一个 S3 存储桶,或者更改文件本身中的加密选项。

  • 对于未使用客户托管式密钥进行加密的手动创建快照,您还可以使用客户托管式密钥对其进行加密。使用此选项,即使未在原始集群上加密数据,也可以使用 KMS 密钥对存储在 Amazon S3 中的快照文件进行加密。

从快照还原允许您从可用的加密选项中进行选择,类似于创建新集群时可用的加密选项。

  • 如果删除密钥或禁用密钥并为用于加密集群的密钥撤销授权,则集群将变得不可恢复。换句话说,复制组在硬件故障后无法修改或恢复。AmazonKMS 在至少七天的等待期限之后才会删除根密钥。删除密钥后,您可以使用其他客户托管式密钥创建快照以用于存档目的。

  • 自动密钥轮换将保留 Amazon KMS 根密钥的属性,因此轮换不会影响您访问 MemoryDB 数据的能力。加密 MemoryDB 集群不支持手动密钥轮换,手动密钥轮换涉及创建新的根密钥和将任何参考更新到旧密钥。要了解详情,请参阅Amazon密钥管理服务开发人员指南中的轮换客户根密钥

  • 使用 KMS 密钥加密 MemoryDB 集群需要每个集群具有一个授权。在集群的整个生命周期中使用此授权。此外,在快照创建期间使用每个快照一个授权。在创建快照后,此授权将停用。

  • 有关 Amazon KMS 授权和限制的更多信息,请参阅Amazon秘钥管理服务开发人员指南中的配额

另请参阅