View a markdown version of this page

Neptun-Ressourcen im Ruhezustand verschlüsseln - Amazon Neptune
Aktivieren der VerschlüsselungWichtige BerechtigungenEinschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Neptun-Ressourcen im Ruhezustand verschlüsseln

Data-at-rest Verschlüsselung ist die Empfehlung. AWS Weitere Informationen finden Sie unter Data-at-Rest Data-in-Transit Verschlüsselung. Die Verschlüsselung wird in der AWS Konsole erzwungen, wenn Sie einen neuen Neptune DB-Cluster oder eine neue Neptune Global DB erstellen. Dies bietet eine zusätzliche Datenschutzebene. Es schützt Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher und trägt dazu bei, die Compliance-Anforderungen für die Verschlüsselung von Daten im Ruhezustand zu erfüllen.

Um die Schlüssel zu verwalten, die zum Verschlüsseln und Entschlüsseln Ihrer Neptune-Ressourcen verwendet werden, verwenden Sie ().AWS Key Management ServiceAWS KMS AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Mithilfe AWS KMS können Sie Verschlüsselungsschlüssel erstellen und die Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können. AWS KMS unterstützt AWS CloudTrail, sodass Sie die Verwendung von Schlüsseln überprüfen können, um sicherzustellen, dass die Schlüssel ordnungsgemäß verwendet werden.

Im Ruhezustand sind alle zugehörigen Protokolle, Backups und Snapshots für alle verschlüsselten Neptune-DB-Cluster verschlüsselt. Die Neptune-Verschlüsselung gilt nicht für Protokolle, die nach Amazon exportiert werden. CloudWatch

Verschlüsselung von Neptun-Ressourcen

Wenn Sie einen Neptune DB-Cluster oder eine Neptune Global DB erstellen, können Sie die AWS KMS Schlüssel-ID für Ihren Verschlüsselungsschlüssel angeben. Wenn Sie keine AWS KMS Schlüssel-ID angeben, verwendet Neptune Ihren standardmäßigen Amazon RDS-Verschlüsselungsschlüssel (aws/rds) in der Region. AWS KMS erstellt einen Standard-Verschlüsselungsschlüssel für jede Region in Ihrem AWS Konto. In einem Neptune Global-Cluster wird es so viele AWS KMS Schlüssel wie Regionen geben.

Nachdem Sie eine Neptune-Ressource erstellt haben, können Sie den Verschlüsselungsschlüssel für diese Ressource nicht ändern. Stellen Sie also sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel ermitteln, bevor Sie Ihre Neptune-Ressource erstellen. Wenn ein anderer AWS KMS Schlüssel erforderlich ist, können Sie einen Snapshot des vorhandenen Neptune-DB-Clusters verwenden, um einen neuen mit einem anderen AWS KMS Schlüssel zu erstellen (sieheWiederherstellen aus einem DB-Cluster-Snapshot).

Sie können den Amazon-Ressourcennamen (ARN) eines Schlüssels von einem anderen Konto verwenden, um eine Neptune-Ressource zu verschlüsseln. Wenn Sie eine Neptune-Ressource mit demselben AWS Konto erstellen, dem der AWS KMS Verschlüsselungsschlüssel gehört, kann die AWS KMS Schlüssel-ID, die Sie übergeben, der AWS KMS Schlüsselalias und nicht der ARN des Schlüssels sein.

Wichtig

Wenn Neptune den Zugriff auf den Verschlüsselungsschlüssel für einen Neptune-DB-Cluster verliert — zum Beispiel, wenn Neptune den Zugriff auf einen Schlüssel entzogen hat —, wird der verschlüsselte Cluster in einen Terminalzustand versetzt und kann nur aus einem Backup wiederhergestellt werden. Wir empfehlen dringend, immer Backups für verschlüsselte Neptune-DB-Cluster zu aktivieren, um den Verlust verschlüsselter Daten in Ihren Datenbanken zu verhindern.

Wichtige Berechtigungen für die Aktivierung der Verschlüsselung

Der IAM-Benutzer oder die IAM-Rolle, die einen Neptune-DB-Cluster erstellt, muss mindestens die folgenden Berechtigungen für den KMS-Schlüssel haben:

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:GenerateDataKey"

  • "kms:ReEncryptTo"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:CreateGrant"

  • "kms:ReEncryptFrom"

  • "kms:DescribeKey"

Hier ist ein Beispiel (für eine us-east-1 Region) für eine Schlüsselrichtlinie, die die erforderlichen Berechtigungen beinhaltet:

JSON
{
  "Version":"2012-10-17",
  "Id": "key-consolepolicy-3",
  "Statement": [
    {
      "Sid": "Enable Permissions for root principal",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key for Neptune",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptTo",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:CreateGrant",
        "kms:ReEncryptFrom",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Deny use of the key for non Neptune",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

  • Die erste Anweisung in dieser Richtlinie ist optional. Sie gewährt Zugriff auf den Root-Prinzipal des Benutzers.

  • Die zweite Anweisung bietet Zugriff auf alle erforderlichen AWS KMS APIs für diese Rolle, bis hin zum RDS Service Principal.

  • Mit der dritten Anweisung wird die Sicherheit weiter verschärft, indem sie erzwingt, dass dieser Schlüssel von dieser Rolle für keinen anderen Dienst verwendet werden kann. AWS

Sie könnten die createGrant-Berechtigungen weiter einschränken, indem Sie Folgendes hinzufügen:

"Condition": {
  "Bool": {
    "kms:GrantIsForAWSResource": true
  }
}

Einschränkungen der Neptune-Verschlüsselung

Für Neptune Encryption gelten die folgenden Einschränkungen:

  • Sie können einen unverschlüsselten Neptune-DB-Cluster nicht in einen verschlüsselten konvertieren. Sie können die Verschlüsselung für einen Neptune-DB-Cluster nur aktivieren, wenn er erstellt wird. Sie können jedoch einen unverschlüsselten Neptune-DB-Cluster-Snapshot auf einem verschlüsselten Neptune-DB-Cluster wiederherstellen. Geben Sie dazu bei der Wiederherstellung aus dem unverschlüsselten Neptune-DB-Cluster-Snapshot einen KMS-Verschlüsselungsschlüssel an.

  • Aus Kompatibilitätsgründen ist es weiterhin möglich, einen unverschlüsselten Neptune-DB-Cluster über die CLI und die SDKs zu erstellen. AWS Die Konsole ermöglicht nur die Erstellung verschlüsselter Neptune-DB-Cluster.

  • Sie können verschlüsselte und unverschlüsselte Neptune-DB-Cluster nicht in derselben Neptune Global DB mischen. Entweder sind alle Cluster verschlüsselt oder alle Cluster sind unverschlüsselt. Dies wird in der Neptune Global DB-Konfiguration erzwungen.