AWS KMS key gestione - Amazon Relational Database Service
Autorizzazione dell'uso di una chiave gestita dal clienteContesto di crittografia di Amazon RDS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS KMS key gestione

Amazon RDS si integra automaticamente con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Amazon RDS utilizza la crittografia a busta. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service .

  • Per avere il pieno controllo su una chiave KMS, devi creare una chiave gestita dal cliente. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

  • Chiavi gestite da AWSsono chiavi KMS presenti nel tuo account che vengono create, gestite e utilizzate per tuo conto da un AWS servizio integrato con. AWS KMS Per impostazione predefinita, la Chiave gestita da AWS RDS (aws/rds) viene utilizzata per la crittografia. Non puoi gestire, ruotare o eliminare l'RDS. Chiave gestita da AWS Per ulteriori informazioni Chiavi gestite da AWSin merito Chiavi gestite da AWS, consulta la Guida per gli AWS Key Management Service sviluppatori.

Per gestire le chiavi KMS utilizzate per i cluster di DB crittografate Amazon RDS , usa AWS Key Management Service il AWS KMS() nella console, AWS CLI l'o AWS KMS l'API. AWS KMS Puoi visualizzare i log di controllo di ogni operazione eseguita con una chiave gestita da AWS o dal cliente utilizzando AWS CloudTrail. Per ulteriori informazioni sulla rotazione delle chiavi, consulta Rotazione delle chiavi AWS KMS.

Autorizzazione dell'uso di una chiave gestita dal cliente

Quando RDS utilizza una chiave gestita dal cliente in operazioni che coinvolgono la crittografia, funziona per conto dell’utente che crea o modifica la risorsa RDS .

Per creare una risorsa RDS utilizzando una chiave gestita dal cliente, un utente deve disporre delle autorizzazioni per chiamare le seguenti operazioni su tale chiave:

  • kms:CreateGrant

  • kms:DescribeKey

Puoi specificare queste autorizzazioni necessarie in una policy chiave o in una policy IAM se la policy chiave lo consente.

Importante

Quando utilizzi dichiarazioni di rifiuto esplicite per tutte le risorse (*) nelle politiche AWS KMS chiave con servizi gestiti come Amazon RDS, devi specificare una condizione per consentire l'account proprietario della risorsa. L’operazione potrebbe non riuscire senza questa condizione, anche se la regola di rifiuto include eccezioni per l’utente IAM.

Suggerimento

Per seguire il principio del privilegio minimo, non consentire l'accesso completo a kms:CreateGrant. Utilizza invece la chiave kms: ViaService condition per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio. AWS

Esistono diversi modi per rendere la policy IAM più efficace. Ad esempio, se desideri consentire l'utilizzo della chiave gestita dal cliente solo per le richieste che hanno origine in RDS , utilizza kms:ViaService la chiave di condizione con rds.<region>.amazonaws.com il valore. Puoi inoltre usare le chiavi o i valori nel Contesto di crittografia di Amazon RDS come condizione per utilizzare la chiave gestita dal cliente per la crittografia.

Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS nella Guida per gli sviluppatori di AWS Key Management Service e Policy delle chiavi in AWS KMS.

Contesto di crittografia di Amazon RDS

Quando RDS utilizza la chiave KMS o quando Amazon EBS utilizza la chiave KMS per conto di RDS , il servizio specifica un contesto di crittografia. Il contesto di crittografia è costituito da dati autenticati aggiuntivi (AAD) AWS KMS utilizzati per garantire l'integrità dei dati. Quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio deve specificare lo stesso contesto di crittografia per l'operazione di decrittografia. In caso contrario, la decrittografia ha esito negativo. Il contesto di crittografia viene scritto nei log AWS CloudTrail per aiutarti a comprendere perché è stata utilizzata una determinata chiave KMS. CloudTrail I registri potrebbero contenere molte voci che descrivono l'uso di una chiave KMS, ma il contesto di crittografia in ogni voce di registro può aiutarti a determinare il motivo di quel particolare utilizzo.

Come minimo, Amazon RDS utilizza sempre l’ID dell’istanza database per il contesto di crittografia, come nel seguente esempio in formato JSON:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Questo contesto di crittografia consente di identificare l’istanza database per cui è stata utilizzata la chiave KMS.

Quando la chiave KMS viene utilizzata per un’istanza database specifica e un determinato volume Amazon EBS, sia l’ID dell’istanza database sia l’ID del volume Amazon EBS vengono utilizzati per il contesto di crittografia, come nel seguente esempio in formato JSON:

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}