View a markdown version of this page

Mengenkripsi data Amazon DocumentDB saat istirahat - Amazon DocumentDB
Mengaktifkan enkripsi saat istirahatMenyelesaikan status enkripsi yang tidak dapat diaksesBatasan untuk cluster terenkripsi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data Amazon DocumentDB saat istirahat

catatan

AWS KMS mengganti istilah customer master key (CMK) dengan AWS KMS keydan kunci KMS. Konsepnya tidak berubah. Untuk mencegah perubahan yang melanggar, AWS KMS adalah menjaga beberapa variasi istilah ini.

Anda mengenkripsi data at rest di klaster Amazon DocumentDB dengan menentukan opsi enkripsi penyimpanan saat Anda membuat klaster. Enkripsi penyimpanan diaktifkan di seluruh klaster dan diterapkan ke semua instans, termasuk instans primer dan replika apa pun. Hal ini juga diterapkan pada volume penyimpanan, data, indeks, log, backup otomatis, dan snapshot klaster Anda.

Amazon DocumentDB menggunakan Advanced Encryption Standard AES-256 () 256-bit untuk mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan di (). AWS Key Management Service AWS KMS Saat menggunakan klaster Amazon DocumentDB dengan enkripsi saat istirahat diaktifkan, Anda tidak perlu mengubah logika aplikasi atau koneksi klien Anda. Amazon DocumentDB menangani enkripsi dan dekripsi data Anda secara transparan, dengan dampak minimal terhadap performa.

Amazon DocumentDB terintegrasi AWS KMS dengan dan menggunakan metode yang dikenal sebagai enkripsi amplop untuk melindungi data Anda. Ketika cluster Amazon DocumentDB dienkripsi dengan, AWS KMS Amazon DocumentDB AWS KMS meminta untuk menggunakan kunci KMS Anda untuk menghasilkan kunci data ciphertext untuk mengenkripsi volume penyimpanan. Kunci data ciphertext dienkripsi menggunakan kunci KMS yang Anda tentukan, dan disimpan bersama dengan data terenkripsi dan metadata penyimpanan. Saat Amazon DocumentDB perlu mengakses data terenkripsi Anda, Amazon DocumentDB AWS KMS meminta untuk mendekripsi kunci data ciphertext menggunakan kunci KMS Anda dan menyimpan kunci data teks biasa di memori untuk mengenkripsi dan mendekripsi data secara efisien dalam volume penyimpanan.

Fasilitas enkripsi penyimpanan di Amazon DocumentDB tersedia untuk semua ukuran instans yang didukung dan di semua tempat Wilayah AWS Amazon DocumentDB tersedia.

Mengaktifkan enkripsi saat istirahat untuk cluster Amazon DocumentDB

Anda dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat di klaster Amazon DocumentDB saat klaster disediakan menggunakan atau Konsol Manajemen AWS (). AWS Command Line Interface AWS CLI Klaster yang Anda buat menggunakan konsol memiliki enkripsi saat istirahat yang diaktifkan secara default. Cluster yang Anda buat menggunakan enkripsi AWS CLI memiliki saat istirahat dinonaktifkan secara default. Oleh karena itu, Anda harus secara eksplisit mengaktifkan enkripsi saat istirahat menggunakan parameter --storage-encrypted. Dalam kedua kasus tersebut, setelah klaster dibuat, Anda tidak dapat mengubah opsi enkripsi saat istirahat.

Amazon DocumentDB AWS KMS menggunakan untuk mengambil dan mengelola kunci enkripsi, dan untuk menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. Jika Anda tidak menentukan pengenal AWS KMS kunci, Amazon DocumentDB menggunakan kunci KMS layanan AWS terkelola default. Amazon DocumentDB membuat kunci KMS terpisah untuk masing-masing di Anda. Wilayah AWS Akun AWS Untuk informasi selengkapnya, lihatAWS Key Management Service Konsep.

Untuk memulai membuat kunci KMS Anda sendiri, lihat Memulai di Panduan AWS Key Management Service Pengembang.

penting

Anda harus menggunakan kunci KMS enkripsi simetris untuk mengenkripsi klaster Anda karena Amazon DocumentDB hanya mendukung kunci KMS enkripsi simetris. Jangan gunakan kunci KMS asimetris untuk mencoba mengenkripsi data di cluster Amazon DocumentDB Anda. Untuk informasi selengkapnya, lihat Kunci asimetris AWS KMS di Panduan AWS Key Management Service Pengembang.

Jika Amazon DocumentDB tidak dapat lagi mengakses kunci KMS untuk klaster — misalnya, ketika Akun AWS kunci yang memiliki ditangguhkan, kunci dinonaktifkan, kunci dijadwalkan untuk dihapus, atau kebijakan kunci atau pemberian yang diandalkan Amazon DocumentDB dihapus — klaster pertama kali beralih ke status. inaccessible-encryption-credentials-recoverable Saat klaster berada dalam status ini, Amazon DocumentDB menghentikan instance cluster dan Anda tidak dapat membaca dari atau menulis ke cluster, tetapi cluster masih dapat dipulihkan jika akses ke kunci KMS dipulihkan dalam 7 hari. Jika akses tidak dipulihkan dalam 7 hari, klaster akan beralih ke inaccessible-encryption-credentials status terminal. Dari status terminal, klaster tidak lagi tersedia dan status database saat ini tidak dapat dipulihkan — Anda hanya dapat memulihkan dari cadangan atau melakukan pemulihan point-in-time menggunakan kunci KMS asli. Untuk Amazon DocumentDB, backup selalu diaktifkan setidaknya selama 1 hari.

catatan

Cluster yang merupakan bagian dari cluster global berperilaku berbeda. Ketika Amazon DocumentDB mendeteksi bahwa Amazon DocumentDB tidak dapat lagi mengakses kunci KMS, semua cluster dalam klaster global bertransisi langsung ke status inaccessible-encryption-credentials terminal, melewatkan status yang dapat dipulihkan. Ini karena cluster yang merupakan bagian dari cluster global dapat dihentikan dan dimulai hanya ketika itu adalah satu-satunya cluster di cluster global. Untuk memulihkan, Anda harus memulihkan dari snapshot atau melakukan pemulihan point-in-time. Untuk menghapus cluster asli, Anda harus terlebih dahulu menghapus setiap cluster dari cluster global dan kemudian menghapusnya.

penting

Anda tidak dapat mengubah kunci KMS untuk cluster terenkripsi setelah Anda membuatnya. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.

Using the Konsol Manajemen AWS

Anda menentukan opsi enkripsi saat istirahat saat membuat klaster. Enkripsi saat istirahat diaktifkan secara default saat Anda membuat klaster menggunakan Konsol Manajemen AWS. Itu tidak dapat diubah setelah klaster dibuat.

Untuk menentukan opsi enkripsi saat istirahat saat membuat klaster Anda

  1. Buat klaster Amazon DocumentDB seperti yang dijelaskan di bagian Memulai. Namun, pada langkah 6, jangan pilih Buat klaster.

  2. Di bawah bagian Autentikasi, pilih Tampilkan pengaturan lanjutan.

  3. Gulir ke bawah ke Encryption-at-restbagian.

  4. Pilih opsi yang Anda inginkan untuk enkripsi saat istirahat. Opsi mana pun yang Anda pilih, Anda tidak dapat mengubahnya setelah klaster dibuat.

    • Untuk mengenkripsi data at rest di klaster ini, pilih Aktifkan enkripsi.

    • Jika Anda tidak ingin mengenkripsi data at rest di klaster ini, pilih Nonaktifkan enkripsi.

  5. Pilih kunci utama yang Anda inginkan. Amazon DocumentDB menggunakan AWS Key Management Service AWS KMS() untuk mengambil dan mengelola kunci enkripsi, dan untuk menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. Jika Anda tidak menentukan pengenal AWS KMS kunci, Amazon DocumentDB menggunakan kunci KMS layanan AWS terkelola default. Untuk informasi selengkapnya, lihatAWS Key Management Service Konsep.

    catatan

    Setelah Anda membuat cluster terenkripsi, Anda tidak dapat mengubah kunci KMS untuk cluster itu. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.

  6. Lengkapi bagian lain yang diperlukan, dan buat klaster Anda.

Using the AWS CLI

Untuk mengenkripsi cluster Amazon DocumentDB AWS CLI menggunakan, create-db-clusterjalankan perintah dan tentukan opsi. --storage-encrypted Cluster Amazon DocumentDB dibuat menggunakan AWS CLI enkripsi jangan aktifkan penyimpanan secara default.

Contoh berikut membuat klaster Amazon DocumentDB dengan enkripsi penyimpanan yang diaktifkan.

Dalam contoh berikut, ganti masing-masing user input placeholder dengan informasi cluster Anda.

contoh

Untuk Linux, macOS, atau Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier mydocdbcluster \
  --port 27017 \
  --engine docdb \
  --master-username SampleUser1 \
  --master-user-password primaryPassword \
  --storage-encrypted

Untuk Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted

Saat membuat kluster Amazon DocumentDB terenkripsi, Anda dapat menentukan pengenal kunci, seperti pada AWS KMS contoh berikut.

contoh

Untuk Linux, macOS, atau Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier SampleUser1 \
  --port 27017 \
  --engine docdb \
  --master-username primaryUsername \
  --master-user-password yourPrimaryPassword \
  --storage-encrypted \
  --kms-key-id key-arn-or-alias

Untuk Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted ^
  --kms-key-id key-arn-or-alias
catatan

Setelah Anda membuat cluster terenkripsi, Anda tidak dapat mengubah kunci KMS untuk cluster itu. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.

Menyelesaikan cluster Amazon DocumentDB dalam status enkripsi yang tidak dapat diakses

Cluster Amazon DocumentDB pindah ke status enkripsi yang tidak dapat diakses saat Amazon DocumentDB tidak dapat mengakses kunci KMS yang dienkripsi oleh cluster. Ada dua status seperti itu, dan jalur pemulihan tergantung pada mana cluster berada.

inaccessible-encryption-credentials-recoverablestatus

Saat klaster dalam inaccessible-encryption-credentials-recoverable status, Anda dapat mengembalikan cluster available dengan memulihkan akses Amazon DocumentDB ke kunci KMS dan kemudian memulai cluster. Untuk mengatasi status ini, lakukan hal berikut:

  1. Konfirmasikan Akun AWS bahwa yang memiliki kunci KMS aktif. Jika akun ditangguhkan, aktifkan kembali.

  2. Konfirmasikan bahwa kunci KMS diaktifkan. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan kunci di Panduan Developer AWS Key Management Service .

  3. Periksa apakah kunci KMS dijadwalkan untuk dihapus. Jika ya, batalkan penghapusan kunci yang dijadwalkan. Untuk informasi selengkapnya, lihat Menjadwalkan dan membatalkan penghapusan kunci di Panduan Pengembang.AWS Key Management Service

  4. Konfirmasikan bahwa kebijakan kunci KMS dan hibah apa pun yang diandalkan Amazon DocumentDB masih mengizinkan Amazon DocumentDB untuk menggunakan kunci tersebut.

  5. Setelah akses ke kunci KMS dipulihkan, mulai cluster dengan menggunakan Konsol Manajemen AWS atau dengan menjalankan start-db-cluster AWS CLI perintah.

    contoh

    Untuk Linux, macOS, atau Unix:

    aws docdb start-db-cluster \
  --db-cluster-identifier example-cluster

    Untuk Windows:

    aws docdb start-db-cluster ^
  --db-cluster-identifier example-cluster
penting

Jika akses ke kunci KMS tidak dipulihkan dalam 7 hari, klaster akan beralih ke inaccessible-encryption-credentials status terminal, dari mana ia tidak dapat dimulai.

inaccessible-encryption-credentialsstatus

inaccessible-encryption-credentialsStatusnya adalah terminal. Cluster tidak dapat dimulai, dan status menjalankan database tidak dapat dipulihkan. Untuk memulihkan data Anda, pulihkan dari snapshot atau lakukan pemulihan point-in-time ke cluster baru. Anda masih harus memiliki akses ke kunci KMS asli untuk melakukan pemulihan. Jika kunci KMS dihapus, data tidak dapat dipulihkan.

Untuk informasi selengkapnya, lihat Memulihkan dari snapshot cluster dan Memulihkan ke titik waktu.

catatan

Cluster yang merupakan bagian dari transisi klaster global langsung ke inaccessible-encryption-credentials status ketika akses ke kunci KMS hilang, karena cluster yang merupakan bagian dari cluster global dapat dihentikan dan dimulai hanya ketika itu adalah satu-satunya cluster di cluster global. Untuk menghapus klaster yang berada dalam status ini, pertama-tama hapus setiap cluster dari cluster global, lalu hapus cluster satu per satu.

Jika Anda tidak dapat menghapus klaster yang berada dalam inaccessible-encryption-credentials status karena perlindungan penghapusan diaktifkan, matikan perlindungan penghapusan dengan menggunakan AWS CLI sebelum mencoba ulang penghapusan.

contoh

Untuk Linux, macOS, atau Unix:

aws docdb modify-db-cluster \
  --db-cluster-identifier example-cluster \
  --no-deletion-protection

Untuk Windows:

aws docdb modify-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --no-deletion-protection

Anda kemudian dapat menghapus cluster dengan menggunakan delete-db-cluster perintah.

contoh

Untuk Linux, macOS, atau Unix:

aws docdb delete-db-cluster \
  --db-cluster-identifier example-cluster \
  --skip-final-snapshot

Untuk Windows:

aws docdb delete-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --skip-final-snapshot

Jika cluster tidak menghapus setelah Anda menjalankan perintah sebelumnya, hubungi Support AWS .

Batasan untuk cluster terenkripsi Amazon DocumentDB

Keterbatasan berikut ada untuk klaster terenkripsi Amazon DocumentDB.

  • Anda dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat untuk klaster Amazon DocumentDB hanya pada saat klaster dibuat, bukan setelah klaster telah dibuat. Namun, Anda dapat membuat salinan terenkripsi dari klaster yang tidak terenkripsi dengan membuat snapshot dari klaster yang tidak terenkripsi, lalu memulihkan snapshot yang tidak terenkripsi sebagai klaster baru sambil menentukan opsi enkripsi saat istirahat.

    Untuk informasi selengkapnya, lihat topik berikut:

  • Klaster Amazon DocumentDB dengan enkripsi penyimpanan yang diaktifkan tidak dapat dimodifikasi untuk menonaktifkan enkripsi.

  • Semua instance, backup otomatis, snapshot, dan indeks dalam cluster Amazon DocumentDB dienkripsi dengan kunci KMS yang sama.