View a markdown version of this page

Cifrado de datos en reposo de Amazon DocumentDB - Amazon DocumentDB
Habilitación del cifrado en reposoResolver un estado de cifrado inaccesibleLimitaciones para clústeres cifrados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo de Amazon DocumentDB

nota

AWS KMS está sustituyendo el término clave maestra del cliente (CMK) por clave KMS. AWS KMS key El concepto no ha cambiado. Para evitar cambios importantes, AWS KMS mantiene algunas variaciones de este término.

Puede cifrar los datos en reposo del clúster de Amazon DocumentDB especificando la opción de cifrado de almacenamiento al crear el clúster. El cifrado de almacenamiento está habilitado para todo el clúster y se aplica a todas las instancias, incluida la instancia principal y las réplicas. También se aplica al volumen de almacenamiento, los datos, los índices, los registros, las copias de seguridad automatizadas y las instantáneas del clúster.

Amazon DocumentDB utiliza el estándar de cifrado avanzado de 256 bits (AES-256) para cifrar los datos mediante claves de cifrado almacenadas en (). AWS Key Management Service AWS KMS Si utiliza un clúster de Amazon DocumentDB con el cifrado en reposo activado, no necesita modificar la lógica de la aplicación ni la conexión del cliente. Amazon DocumentDB se encarga del cifrado y descifrado de sus datos de forma transparente con un impacto mínimo en el desempeño.

Amazon DocumentDB se integra con un método conocido como cifrado de sobres AWS KMS y lo utiliza para proteger sus datos. Cuando un clúster de Amazon DocumentDB se cifra con un AWS KMS, Amazon DocumentDB AWS KMS le pide que utilice su clave de KMS para generar una clave de datos de texto cifrado para cifrar el volumen de almacenamiento. La clave de datos de texto cifrado se cifra mediante la clave KMS que ha definido y se almacena junto con los datos cifrados y los metadatos de almacenamiento. Cuando Amazon DocumentDB necesita acceder a sus datos cifrados, solicita AWS KMS descifrar la clave de datos de texto cifrado con su clave de KMS y guarda en caché la clave de datos de texto sin formato en la memoria para cifrar y descifrar de forma eficaz los datos del volumen de almacenamiento.

La función de cifrado de almacenamiento de Amazon DocumentDB está disponible para todos los tamaños de instancia compatibles y en todos los Regiones de AWS lugares en los que Amazon DocumentDB esté disponible.

Habilitación del cifrado en reposo de un clúster de Amazon DocumentDB

Puede habilitar o deshabilitar el cifrado en reposo en un clúster de Amazon DocumentDB cuando el clúster se aprovisione mediante Consola de administración de AWS o (). AWS Command Line Interface AWS CLI Los clústeres creados con la consola tienen el cifrado en reposo habilitado de forma predeterminada. Los clústeres que cree con el cifrado en reposo AWS CLI tienen el cifrado en reposo desactivado de forma predeterminada. Por lo tanto, debe habilitar explícitamente el cifrado en reposo mediante el --storage-encrypted parámetro. En cualquier caso, una vez creado el clúster, no puede cambiar la opción de cifrado en reposo.

Amazon DocumentDB se utiliza AWS KMS para recuperar y administrar las claves de cifrado y para definir las políticas que controlan el uso de estas claves. Si no especifica un identificador AWS KMS clave, Amazon DocumentDB utiliza la clave KMS del servicio AWS gestionado predeterminado. Amazon DocumentDB crea una clave KMS independiente para cada uno Región de AWS de sus. Cuenta de AWS Para obtener más información, consulte Conceptos de AWS Key Management Service.

Para comenzar a crear su propia KMS, consulte Introducción en la AWS Key Management Service Guía del desarrollador.

importante

Debe utilizar una clave de cifrado de KMS simétrica para cifrar el clúster, ya que Amazon DocumentDB solo admite claves de cifrado de KMS de cifrado simétricas. No utilice una KMS asimétrica para intentar cifrar los datos de los clústeres de Amazon DocumentDB. Para obtener más información, consulte claves asimétricas de AWS KMS en la Guía para desarrolladores de AWS Key Management Service .

Si Amazon DocumentDB ya no puede acceder a la clave de KMS de un clúster (por ejemplo, cuando el Cuenta de AWS propietario de la clave está suspendido, la clave está deshabilitada, la clave está programada para su eliminación o se elimina la política o concesión de claves en la que se basa Amazon DocumentDB), el clúster pasa primero al estado. inaccessible-encryption-credentials-recoverable Mientras el clúster se encuentra en este estado, Amazon DocumentDB detiene las instancias del clúster y no puede leer ni escribir en el clúster, pero el clúster se puede recuperar si se restaura el acceso a la clave de KMS en un plazo de 7 días. Si el acceso no se restablece en un plazo de 7 días, el clúster pasa al inaccessible-encryption-credentials estado de terminal. Desde el estado de terminal, el clúster ya no está disponible y no se puede recuperar el estado actual de la base de datos; solo se puede restaurar a partir de una copia de seguridad o realizar una restauración puntual con la clave KMS original. En Amazon DocumentDB, las copias de seguridad siempre están habilitadas durante al menos 1 día.

nota

Los clústeres que forman parte de un clúster global se comportan de forma diferente. Cuando Amazon DocumentDB detecta que ya no puede acceder a la clave de KMS, todos los clústeres del clúster global pasan directamente al estado de terminal, saltándose el inaccessible-encryption-credentials estado recuperable. Esto se debe a que un clúster que forma parte de un clúster global solo se puede detener e iniciar cuando es el único clúster del clúster global. Para recuperarlo, debe realizar una restauración a partir de una instantánea o realizar una restauración en un momento dado. Para eliminar los clústeres originales, primero debe eliminar cada clúster del clúster global y, a continuación, eliminarlos.

importante

No puede cambiar la clave KMS de un clúster cifrado después de haberlo creado. Asegúrese de determinar los requisitos de clave de cifrado antes de crear el clúster cifrado.

Using the Consola de administración de AWS

Debe especificar la opción de cifrado en reposo al crear un clúster. El cifrado en reposo se habilita de forma predeterminada cuando se crea un clúster mediante la Consola de administración de AWS. No se puede cambiar una vez creado el clúster.

Para especificar la opción de cifrado en reposo, al crear el clúster

  1. Cree un clúster de Amazon DocumentDB como se describe en la sección Introducción. Sin embargo, en el paso 6, no elija Create cluster (Crear clúster).

  2. Debajo de la sección Authentication (Autenticación), elija Show advanced settings (Mostrar configuración avanzada).

  3. Desplácese hacia abajo hasta la sección de la Encryption-at-rest.

  4. Elija la opción que desee para el cifrado en reposo. Cualquiera que sea la opción que elija, no podrá cambiarla después de crear el clúster.

    • Para cifrar datos en reposo en este clúster, elija Enable encryption (Habilitar cifrado).

    • Si no desea cifrar datos en reposo en este clúster, elija Disable encryption (Deshabilitar cifrado).

  5. Elija la clave principal que desee. Amazon DocumentDB usa AWS Key Management Service (AWS KMS) para recuperar y administrar las claves de cifrado y para definir las políticas que controlan cómo se pueden usar estas claves. Si no especifica un identificador AWS KMS clave, Amazon DocumentDB utiliza la clave KMS del servicio AWS gestionado predeterminado. Para obtener más información, consulte Conceptos de AWS Key Management Service.

    nota

    Después de crear un clúster cifrado, no puede cambiar la clave KMS de dicho clúster. Asegúrese de determinar los requisitos de clave de cifrado antes de crear el clúster cifrado.

  6. Rellene las demás secciones según sea necesario y cree el clúster.

Using the AWS CLI

Para cifrar un clúster de Amazon DocumentDB mediante AWS CLI el, ejecute el comando y especifique create-db-cluster--storage-encryptedla opción. Los clústeres de Amazon DocumentDB creados con el cifrado AWS CLI no habilitan el almacenamiento de forma predeterminada.

En el siguiente ejemplo se crea un clúster de Amazon DocumentDB con el cifrado de almacenamiento habilitado.

En los siguientes ejemplos, sustituya cada uno por user input placeholder la información de su clúster.

ejemplo

Para Linux, macOS o Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier mydocdbcluster \
  --port 27017 \
  --engine docdb \
  --master-username SampleUser1 \
  --master-user-password primaryPassword \
  --storage-encrypted

Para Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted

Al crear un clúster de Amazon DocumentDB cifrado, puede especificar un identificador AWS KMS clave, como en el siguiente ejemplo.

ejemplo

Para Linux, macOS o Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier SampleUser1 \
  --port 27017 \
  --engine docdb \
  --master-username primaryUsername \
  --master-user-password yourPrimaryPassword \
  --storage-encrypted \
  --kms-key-id key-arn-or-alias

Para Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted ^
  --kms-key-id key-arn-or-alias
nota

Después de crear un clúster cifrado, no puede cambiar la clave KMS de dicho clúster. Asegúrese de determinar los requisitos de clave de cifrado antes de crear el clúster cifrado.

Resolución de un clúster de Amazon DocumentDB en un estado de cifrado inaccesible

Un clúster de Amazon DocumentDB pasa a un estado de cifrado inaccesible cuando Amazon DocumentDB no puede acceder a la clave de KMS con la que se cifró el clúster. Existen dos estados de este tipo y la ruta de recuperación depende del estado en el que se encuentre el clúster.

Estado de inaccessible-encryption-credentials-recoverable

Mientras el clúster esté en ese inaccessible-encryption-credentials-recoverable estado, puede devolverlo available restaurando el acceso de Amazon DocumentDB a la clave de KMS y, a continuación, iniciando el clúster. Para resolver este estado, haga lo siguiente:

  1. Confirme Cuenta de AWS que el propietario de la clave KMS esté activo. Si la cuenta está suspendida, actívela de nuevo.

  2. Confirme que la clave KMS esté habilitada. Para obtener más información, consulte Habilitación y deshabilitación de claves en la Guía para desarrolladores de AWS Key Management Service .

  3. Compruebe si la eliminación de la clave KMS está programada. Si es así, cancele la eliminación programada de la clave. Para obtener más información, consulte Programar y cancelar la eliminación de claves en la Guía para AWS Key Management Service desarrolladores.

  4. Confirme que la política de claves de KMS y cualquier concesión en la que se base Amazon DocumentDB sigan permitiendo a Amazon DocumentDB utilizar la clave.

  5. Una vez restablecido el acceso a la clave de KMS, inicie el clúster mediante el comando Consola de administración de AWS o ejecutándolo. start-db-cluster AWS CLI

    ejemplo

    Para Linux, macOS o Unix:

    aws docdb start-db-cluster \
  --db-cluster-identifier example-cluster

    Para Windows:

    aws docdb start-db-cluster ^
  --db-cluster-identifier example-cluster
importante

Si el acceso a la clave KMS no se restablece en un plazo de 7 días, el clúster pasa al inaccessible-encryption-credentials estado de terminal, desde el que no se puede iniciar.

Estado de inaccessible-encryption-credentials

El inaccessible-encryption-credentials estado es terminal. No se puede iniciar el clúster y no se puede recuperar el estado de ejecución de la base de datos. Para recuperar los datos, restaure a partir de una instantánea o realice una restauración puntual en un clúster nuevo. Debe seguir teniendo acceso a la clave KMS original para realizar la restauración. Si se eliminó la clave KMS, los datos no se pueden recuperar.

Para obtener más información, consulte Restauración de una instantánea del clúster y Restauración a un momento dado.

nota

Los clústeres que forman parte de un clúster global pasan directamente al inaccessible-encryption-credentials estado en el que se pierde el acceso a la clave de KMS, ya que un clúster que forma parte de un clúster global solo se puede detener e iniciar cuando es el único clúster del clúster global. Para eliminar un clúster que se encuentra en este estado, primero elimine cada clúster del clúster global y, a continuación, elimine los clústeres individualmente.

Si no puedes eliminar un clúster que está en ese inaccessible-encryption-credentials estado porque la protección contra eliminaciones está habilitada, desactívala utilizando la AWS CLI antes de volver a intentar eliminarla.

ejemplo

Para Linux, macOS o Unix:

aws docdb modify-db-cluster \
  --db-cluster-identifier example-cluster \
  --no-deletion-protection

Para Windows:

aws docdb modify-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --no-deletion-protection

A continuación, puede eliminar el clúster mediante el delete-db-cluster comando.

ejemplo

Para Linux, macOS o Unix:

aws docdb delete-db-cluster \
  --db-cluster-identifier example-cluster \
  --skip-final-snapshot

Para Windows:

aws docdb delete-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --skip-final-snapshot

Si el clúster no se elimina después de ejecutar los comandos anteriores, póngase en contacto con AWS Support.

Limitaciones para clústeres cifrados de Amazon DocumentDB

Los clústeres cifrados de Amazon DocumentDB tienen las siguientes limitaciones:

  • Solo puede habilitar o deshabilitar el cifrado en reposo para un clúster de Amazon DocumentDB en el momento en que se crea, no después de que el clúster se haya creado. Sin embargo, puede crear una copia cifrada de un clúster sin cifrar creando una instantánea del clúster sin cifrar y, a continuación, restaurando la instantánea sin cifrar como nuevo clúster mientras especifica la opción de cifrado en reposo.

    Para obtener más información, consulte los temas siguientes:

  • Los clústeres de Amazon DocumentDB con el cifrado de almacenamiento habilitado no se pueden modificar para deshabilitar el cifrado.

  • Todas las instancias, copias de seguridad automatizadas, instantáneas e índices de un clúster de Amazon DocumentDB se cifran con la misma clave KMS.