MemoryDB 中的静态加密 - Amazon MemoryDB for Redis
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

MemoryDB 中的静态加密

为了帮助保护您的数据,MemoryDB for Redis 和 Amazon S3 提供了不同的方法来限制对集群中的数据的访问。有关更多信息,请参阅 MoryDB 和Amazon VPCRedis MemoryDB 中的身份和权限管理

始终启用 MemoryDB 静态加密,以通过加密持久数据来提高数据的安全性。它加密了以下几个方面:

  • 事务日志中的数据

  • 同步、快照和交换操作期间的磁盘

  • Amazon S3 中存储的快照

MemoryDB 提供默认(服务管理)的静态加密,以及在中使用您自己的对称的客户管理的客户根密钥的能力。AmazonKey Management Service (KMS).

有关传输中加密的信息,请参阅传输中加密 (TLS)

使用客户管理的密钥Amazon自杀

MemoryDB 支持对称的客户管理的根密钥(KMS KMS Key)进行静态加密。客户托管式 KMS 密钥是您在自己的 Amazon 账户中创建、拥有并管理的加密密钥。有关更多信息,请参阅 。客户根密钥中的Amazon键管理服务开发人员指南. 密钥必须在AmazonKMS 之前可以将其与 MemoryDB 一起使用。

要了解如何创建 Amazon KMS 根密钥,请参阅 Amazon Key Management Service 开发人员指南中的创建密钥

MemoryDB 允许您与AmazonKMS. 有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用授权。无需任何客户操作即可实现 MemoryDB 与AmazonKMS.

这些区域有:kms:ViaService条件密钥限制使用Amazon指定请求的 KMS 密钥Amazon服务。使用kms:ViaService使用 MemoryDB,在条件键值中包含两个 ViaService 名称:memorydb.amazon_region.amazonaws.com. 有关更多信息,请参阅 。kms:ViaService.

您可以使用AmazonCloudTrail跟踪 MemoryDB to Redis 发送到的请求Amazon Key Management Service代表您。对 Amazon Key Management Service 发出的与客户托管式密钥相关的所有 API 调用都具有相应的 CloudTrail 日志。您还可以通过调用ListGrantsKMS API 调用。

使用客户托管密钥加密集群后,集群的所有快照都将按如下方式加密:

  • 使用与集群关联的客户管理的密钥对自动每日快照进行加密。

  • 删除集群时创建的最终快照也使用与集群关联的客户管理的密钥进行加密。

  • 默认情况下,手动创建的快照将使用与集群关联的 KMS 密钥。您可以通过选择其他客户托管式密钥来覆此行为。

  • 默认情况下,复制快照使用与源快照关联的客户管理的密钥。您可以通过选择其他客户托管式密钥来覆此行为。

注意
  • 将快照导出到所选的 Amazon S3 存储桶时,无法使用客户管理的密钥。但是,导出到 Amazon S3 的所有快照都使用服务器端加密。您可以选择将快照文件复制到新的 S3 对象并使用客户管理的 KMS 密钥进行加密、将文件复制到使用 KMS 密钥通过默认加密设置的另一个 S3 存储桶,或者更改文件本身中的加密选项。

  • 您还可以使用客户管理的密钥对手动创建的未使用客户管理的密钥进行加密的快照进行加密。使用此选项,即使未在原始群集上加密数据,也可以使用 KMS 密钥对存储在 Amazon S3 中的快照文件进行加密。

从快照还原允许您从可用的加密选项中进行选择,类似于创建新集群时可用的加密选项。

  • 如果你删除密钥或禁用键和撤消授权对于用于加密集群的密钥,集群将变得无法恢复。换句话说,复制组在硬件故障后无法修改或恢复。AmazonKMS 在至少七天的等待期限之后才会删除根密钥。删除密钥后,您可以使用其他客户管理的密钥创建快照以用于存档目的。

  • 自动密钥轮换可保留您的属性AmazonKMS 根密钥,因此轮换不会影响您访问 MemoryDB 数据的能力。加密的 MemoryDB 集群不支持手动密钥轮换,手动密钥轮换涉及创建新的根密钥和更新对旧密钥的任何引用。要了解更多信息,请参阅轮换客户根密钥中的Amazon键管理服务开发人员指南.

  • 使用 KMS 密钥加密 MemoryDB 集群需要每个集群一次授权。在集群的整个生命周期中使用此授权。此外,在创建快照期间使用每个快照一个授权。创建快照后,此授权将停用。

  • 有关AmazonKMS 授权和限制,请参阅配额中的Amazon键管理服务开发人员指南.

另请参阅