View a markdown version of this page

Verschlüsselung von Amazon DocumentDB DocumentDB-Daten im Ruhezustand - Amazon DocumentDB
Verschlüsselung im Ruhezustand aktivierenAuflösen eines Verschlüsselungsstatus, auf den nicht zugegriffen werden kannEinschränkungen für verschlüsselte Cluster

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung von Amazon DocumentDB DocumentDB-Daten im Ruhezustand

Anmerkung

AWS KMS ersetzt den Begriff Customer Master Key (CMK) durch AWS KMS keyeinen KMS-Schlüssel. Das Konzept hat sich nicht geändert. Um bahnbrechende Änderungen zu verhindern, AWS KMS werden einige Varianten dieses Begriffs beibehalten.

Sie verschlüsseln ruhende Daten in Ihrem Amazon DocumentDB-Cluster, indem Sie bei der Erstellung Ihres Clusters die Speicherverschlüsselungsoption angeben. Die Speicher-Verschlüsselung ist Cluster-weit aktiviert und wird auf alle Instances angewendet, einschließlich der primären Instance und alle Replikate. Sie wird auch auf das Speichervolumen Ihres Clusters, auf Daten, Indizes, Protokolle, automatisierte Sicherungen und Snapshots angewendet.

Amazon DocumentDB verwendet den 256-Bit-Advanced Encryption Standard (AES-256), um Ihre Daten mit den in () gespeicherten Verschlüsselungsschlüsseln zu verschlüsseln. AWS Key Management Service AWS KMS Wenn Sie einen Amazon DocumentDB-Cluster mit aktivierter Verschlüsselung im Ruhezustand verwenden, müssen Sie Ihre Anwendungslogik oder Client-Verbindung nicht ändern. Amazon DocumentDB wickelt die Verschlüsselung und Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung ab.

Amazon DocumentDB ist in eine Methode integriert, die als Umschlagverschlüsselung bekannt ist, AWS KMS und verwendet diese zum Schutz Ihrer Daten. Wenn ein Amazon DocumentDB-Cluster mit einem verschlüsselt ist AWS KMS, bittet Amazon DocumentDB, Ihren KMS-Schlüssel AWS KMS zu verwenden, um einen Chiffretext-Datenschlüssel zur Verschlüsselung des Speichervolumes zu generieren. Der Chiffretext-Datenschlüssel wird mit dem von Ihnen definierten KMS-Schlüssel verschlüsselt und zusammen mit den verschlüsselten Daten und Speichermetadaten gespeichert. Wenn Amazon DocumentDB auf Ihre verschlüsselten Daten zugreifen muss, fordert AWS KMS es die Entschlüsselung des Chiffretext-Datenschlüssels mithilfe Ihres KMS-Schlüssels an und speichert den Klartext-Datenschlüssel im Speicher, um Daten auf dem Speichervolume effizient zu verschlüsseln und zu entschlüsseln.

Die Speicherverschlüsselungsfunktion in Amazon DocumentDB ist für alle unterstützten Instance-Größen und überall dort verfügbar, AWS-Regionen wo Amazon DocumentDB verfügbar ist.

Verschlüsselung im Ruhezustand für einen Amazon DocumentDB-Cluster aktivieren

Sie können die Verschlüsselung im Ruhezustand auf einem Amazon DocumentDB-Cluster aktivieren oder deaktivieren, wenn der Cluster entweder mit dem AWS-Managementkonsole oder dem AWS Command Line Interface ()AWS CLI bereitgestellt wird. Cluster, die Sie mit der Konsole erstellen, haben standardmäßig die Verschlüsselung im Ruhezustand aktiviert. Bei Clustern, die Sie mit dem erstellen, ist AWS CLI die Verschlüsselung im Ruhezustand standardmäßig deaktiviert. Daher müssen Sie die Verschlüsselung im Ruhezustand explizit mit dem --storage-encrypted-Parameter aktivieren. In beiden Fällen können Sie nach dem Erstellen des Clusters die Option „Verschlüsselung im Ruhezustand“ nicht ändern.

Amazon DocumentDB verwendet, AWS KMS um Verschlüsselungsschlüssel abzurufen und zu verwalten und die Richtlinien zu definieren, die kontrollieren, wie diese Schlüssel verwendet werden können. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Amazon DocumentDB den standardmäßigen KMS-Schlüssel für AWS verwaltete Dienste. Amazon DocumentDB erstellt für jeden AWS-Region in Ihrem AWS-Konto einen eigenen KMS-Schlüssel. Weitere Informationen finden Sie unter AWS Key Management Service -Konzepte.

Informationen zu den ersten Schritten beim Erstellen Ihres eigenen KMS-Schlüssels finden Sie unter Erste Schritte im AWS Key Management Service Entwicklerhandbuch.

Wichtig

Sie müssen einen KMS-Schlüssel für die symmetrische Verschlüsselung verwenden, um Ihren Cluster zu verschlüsseln, da Amazon DocumentDB nur KMS-Schlüssel mit symmetrischer Verschlüsselung unterstützt. Verwenden Sie keinen asymmetrischen KMS-Schlüssel, um zu versuchen, die Daten in Ihren Amazon DocumentDB-Clustern zu verschlüsseln. Weitere Informationen finden Sie unter Asymmetrische Schlüssel AWS KMS im Entwicklerhandbuch.AWS Key Management Service

Wenn Amazon DocumentDB nicht mehr auf den KMS-Schlüssel für einen Cluster zugreifen kann — wenn beispielsweise der, dem der Schlüssel gehört AWS-Konto , gesperrt ist, der Schlüssel deaktiviert ist, der Schlüssel zum Löschen geplant ist oder die Schlüsselrichtlinie oder -gewährung, auf die sich Amazon DocumentDB stützt, entfernt wird — geht der Cluster zunächst in den inaccessible-encryption-credentials-recoverable Status über. Solange sich der Cluster in diesem Status befindet, stoppt Amazon DocumentDB die Instances des Clusters und Sie können weder aus dem Cluster lesen noch in ihn schreiben, aber der Cluster kann trotzdem wiederhergestellt werden, wenn der Zugriff auf den KMS-Schlüssel innerhalb von 7 Tagen wiederhergestellt wird. Wenn der Zugriff nicht innerhalb von 7 Tagen wiederhergestellt wird, wechselt der Cluster in den inaccessible-encryption-credentials Terminalstatus. Ab dem Terminalstatus ist der Cluster nicht mehr verfügbar und der aktuelle Status der Datenbank kann nicht wiederhergestellt werden. Sie können nur mit dem ursprünglichen KMS-Schlüssel Daten aus einer Sicherung wiederherstellen oder eine Point-in-Time-Wiederherstellung durchführen. Für Amazon DocumentDB sind Backups immer für mindestens einen Tag aktiviert.

Anmerkung

Cluster, die Teil eines globalen Clusters sind, verhalten sich unterschiedlich. Wenn Amazon DocumentDB feststellt, dass es nicht mehr auf den KMS-Schlüssel zugreifen kann, gehen alle Cluster im globalen Cluster direkt in den inaccessible-encryption-credentials Terminalstatus über und überspringen den Status „Wiederherstellbar“. Das liegt daran, dass ein Cluster, der Teil eines globalen Clusters ist, nur gestoppt und gestartet werden kann, wenn er der einzige Cluster im globalen Cluster ist. Für die Wiederherstellung müssen Sie die Wiederherstellung anhand eines Snapshots durchführen oder eine Point-in-Time-Wiederherstellung durchführen. Um die ursprünglichen Cluster zu löschen, müssen Sie zuerst jeden Cluster aus dem globalen Cluster entfernen und ihn dann löschen.

Wichtig

Sie können den KMS-Schlüssel für einen verschlüsselten Cluster nicht ändern, nachdem Sie ihn bereits erstellt haben. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.

Using the AWS-Managementkonsole

Geben Sie beim Erstellen eines Clusters die Option „Verschlüsselung im Ruhezustand“ an. Die Verschlüsselung im Ruhezustand ist standardmäßig aktiviert, wenn Sie einen Cluster mit der AWS-Managementkonsole erstellen. Nachdem der Cluster erstellt wurde, kann er nicht mehr geändert werden.

So legen Sie beim Erstellen eines Clusters die Option „Verschlüsselung im Ruhezustand“ fest

  1. Erstellen Sie einen Amazon DocumentDB-Cluster, wie im Abschnitt Erste Schritte beschrieben. Wählen Sie jedoch in Schritt 6 nicht Create Cluster (Cluster erstellen) aus.

  2. Wählen Sie unterhalb des Abschnitts Authentication (Authentifizierung) die Option Show advanced settings (Erweiterte Einstellungen anzeigen) aus.

  3. Scrollen Sie nach unten zum Encryption-at-restAbschnitt.

  4. Wählen Sie die Option aus, die Sie für die Verschlüsselung im Ruhezustand wünschen. Egal, welche Option Sie wählen, nach dem Erstellen des Clusters können Sie sie nicht mehr ändern.

    • Wenn Sie Daten im Ruhezustand in diesem Cluster verschlüsseln möchten, wählen Sie Enable encryption (Verschlüsselung aktivieren) aus.

    • Wenn Sie Daten im Ruhezustand in diesem Cluster nicht verschlüsseln möchten, wählen Sie Disable encryption (Verschlüsselung deaktivieren) aus.

  5. Wählen Sie den gewünschten Primärschlüssel aus. Amazon DocumentDB verwendet die AWS Key Management Service (AWS KMS), um Verschlüsselungsschlüssel abzurufen und zu verwalten und um die Richtlinien zu definieren, die steuern, wie diese Schlüssel verwendet werden können. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Amazon DocumentDB den standardmäßigen KMS-Schlüssel für AWS verwaltete Dienste. Weitere Informationen finden Sie unter AWS Key Management Service -Konzepte.

    Anmerkung

    Nachdem Sie einen verschlüsselten Cluster erstellt haben, können Sie den KMS-Schlüssel für diesen Cluster nicht ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.

  6. Füllen Sie die anderen Abschnitte nach Bedarf aus und erstellen Sie Ihren Cluster.

Using the AWS CLI

Um einen Amazon DocumentDB-Cluster mit dem zu verschlüsseln AWS CLI, führen Sie den create-db-clusterBefehl aus und geben Sie die --storage-encrypted Option an. Amazon DocumentDB-Cluster, die mit dem erstellt wurden, aktivieren standardmäßig AWS CLI keine Speicherverschlüsselung.

Im folgenden Beispiel wird ein Amazon DocumentDB-Cluster mit aktivierter Speicherverschlüsselung erstellt.

Ersetzen Sie in den folgenden Beispielen jedes user input placeholder durch die Informationen Ihres Clusters.

Beispiel

Für Linux, macOS oder Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier mydocdbcluster \
  --port 27017 \
  --engine docdb \
  --master-username SampleUser1 \
  --master-user-password primaryPassword \
  --storage-encrypted

Für Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted

Wenn Sie einen verschlüsselten Amazon DocumentDB-Cluster erstellen, können Sie wie im folgenden Beispiel eine AWS KMS Schlüssel-ID angeben.

Beispiel

Für Linux, macOS oder Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier SampleUser1 \
  --port 27017 \
  --engine docdb \
  --master-username primaryUsername \
  --master-user-password yourPrimaryPassword \
  --storage-encrypted \
  --kms-key-id key-arn-or-alias

Für Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted ^
  --kms-key-id key-arn-or-alias
Anmerkung

Nachdem Sie einen verschlüsselten Cluster erstellt haben, können Sie den KMS-Schlüssel für diesen Cluster nicht ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel bestimmen, bevor Sie Ihren verschlüsselten Cluster erstellen.

Auflösen eines Amazon DocumentDB-Clusters in einem Verschlüsselungsstatus, auf den nicht zugegriffen werden kann

Ein Amazon DocumentDB-Cluster wechselt in den Verschlüsselungsstatus „Unzugänglich“, wenn Amazon DocumentDB nicht auf den KMS-Schlüssel zugreifen kann, mit dem der Cluster verschlüsselt wurde. Es gibt zwei solcher Status, und der Wiederherstellungspfad hängt davon ab, in welchem sich der Cluster befindet.

inaccessible-encryption-credentials-recoverable-Status

Solange sich der Cluster im inaccessible-encryption-credentials-recoverable Status befindet, können Sie den Cluster wieder in den Zustand versetzen, available indem Sie den Zugriff von Amazon DocumentDB auf den KMS-Schlüssel wiederherstellen und dann den Cluster starten. Gehen Sie wie folgt vor, um diesen Status zu beheben:

  1. Vergewissern Sie sich AWS-Konto , dass der Besitzer des KMS-Schlüssels aktiv ist. Wenn das Konto gesperrt ist, reaktivieren Sie es.

  2. Vergewissern Sie sich, dass der KMS-Schlüssel aktiviert ist. Weitere Informationen finden Sie unter Schlüssel aktivieren und deaktivieren im AWS Key Management Service Entwicklerhandbuch.

  3. Prüfen Sie, ob der KMS-Schlüssel zum Löschen geplant ist. Ist dies der Fall, brechen Sie das geplante Löschen des Schlüssels ab. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Das Löschen von Schlüsseln planen und stornieren.

  4. Vergewissern Sie sich, dass die KMS-Schlüsselrichtlinie und alle Zuschüsse, auf die Amazon DocumentDB angewiesen ist, Amazon DocumentDB weiterhin die Verwendung des Schlüssels gestatten.

  5. Nachdem der Zugriff auf den KMS-Schlüssel wiederhergestellt ist, starten Sie den Cluster mithilfe von AWS-Managementkonsole oder, indem Sie den Befehl ausführen. start-db-cluster AWS CLI

    Beispiel

    Für Linux, macOS oder Unix:

    aws docdb start-db-cluster \
  --db-cluster-identifier example-cluster

    Für Windows:

    aws docdb start-db-cluster ^
  --db-cluster-identifier example-cluster
Wichtig

Wenn der Zugriff auf den KMS-Schlüssel nicht innerhalb von 7 Tagen wiederhergestellt wird, wechselt der Cluster in den inaccessible-encryption-credentials Terminalstatus, von dem aus er nicht gestartet werden kann.

inaccessible-encryption-credentials-Status

Der inaccessible-encryption-credentials Status ist Terminal. Der Cluster kann nicht gestartet werden, und der Ausführungsstatus der Datenbank kann nicht wiederhergestellt werden. Um Ihre Daten wiederherzustellen, führen Sie eine Wiederherstellung von einem Snapshot aus oder führen Sie eine Point-in-Time-Wiederherstellung auf einem neuen Cluster durch. Sie müssen weiterhin Zugriff auf den ursprünglichen KMS-Schlüssel haben, um die Wiederherstellung durchzuführen. Wenn der KMS-Schlüssel gelöscht wurde, können die Daten nicht wiederhergestellt werden.

Weitere Informationen erhalten Sie unter Wiederherstellung aus einem Cluster-Snapshot und Zu einem bestimmten Zeitpunkt wiederherstellen.

Anmerkung

Cluster, die Teil eines globalen Clusters sind, gehen direkt in den inaccessible-encryption-credentials Status über, wenn der Zugriff auf den KMS-Schlüssel verloren geht, weil ein Cluster, der Teil eines globalen Clusters ist, nur gestoppt und gestartet werden kann, wenn er der einzige Cluster im globalen Cluster ist. Um einen Cluster zu löschen, der sich in diesem Status befindet, entfernen Sie zuerst jeden Cluster aus dem globalen Cluster und löschen Sie dann die Cluster einzeln.

Wenn Sie einen Cluster, der sich in diesem inaccessible-encryption-credentials Status befindet, nicht löschen können, weil der Löschschutz aktiviert ist, deaktivieren Sie den Löschschutz mithilfe von, AWS CLI bevor Sie den Löschvorgang erneut versuchen.

Beispiel

Für Linux, macOS oder Unix:

aws docdb modify-db-cluster \
  --db-cluster-identifier example-cluster \
  --no-deletion-protection

Für Windows:

aws docdb modify-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --no-deletion-protection

Anschließend können Sie den Cluster mithilfe des delete-db-cluster Befehls löschen.

Beispiel

Für Linux, macOS oder Unix:

aws docdb delete-db-cluster \
  --db-cluster-identifier example-cluster \
  --skip-final-snapshot

Für Windows:

aws docdb delete-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --skip-final-snapshot

Wenn der Cluster nicht gelöscht wird, nachdem Sie die vorherigen Befehle ausgeführt haben, wenden Sie sich an den AWS Support.

Einschränkungen für verschlüsselte Amazon DocumentDB-Cluster

Für verschlüsselte Amazon DocumentDB-Cluster gelten die folgenden Einschränkungen.

  • Sie können die Verschlüsselung im Ruhezustand für einen Amazon DocumentDB-Cluster nur zu dem Zeitpunkt aktivieren oder deaktivieren, zu dem er erstellt wurde, nicht nachdem der Cluster erstellt wurde. Sie können jedoch eine verschlüsselte Kopie eines unverschlüsselten Clusters erstellen, indem Sie einen Snapshot des unverschlüsselten Clusters erstellen und dann den unverschlüsselten Snapshot als neuen Cluster wiederherstellen und dabei die Option Verschlüsselung im Ruhezustand angeben.

    Weitere Informationen finden Sie unter den folgenden Themen:

  • Amazon DocumentDB-Cluster mit aktivierter Speicherverschlüsselung können nicht geändert werden, um die Verschlüsselung zu deaktivieren.

  • Alle Instances, automatisierten Backups, Snapshots und Indizes in einem Amazon DocumentDB-Cluster werden mit demselben KMS-Schlüssel verschlüsselt.