Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengenkripsi data Amazon DocumentDB saat istirahat
<a name="encryption-at-rest"></a>

**catatan**  
AWS KMS mengganti istilah *customer master key (CMK)* dengan *AWS KMS key*dan kunci *KMS*. Konsepnya tidak berubah. Untuk mencegah perubahan yang melanggar, AWS KMS adalah menjaga beberapa variasi istilah ini.

Anda mengenkripsi data at rest di klaster Amazon DocumentDB dengan menentukan opsi enkripsi penyimpanan saat Anda membuat klaster. Enkripsi penyimpanan diaktifkan di seluruh klaster dan diterapkan ke semua instans, termasuk instans primer dan replika apa pun. Hal ini juga diterapkan pada volume penyimpanan, data, indeks, log, backup otomatis, dan snapshot klaster Anda. 

Amazon DocumentDB menggunakan Advanced Encryption Standard AES-256 () 256-bit untuk mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan di (). AWS Key Management Service AWS KMS Saat menggunakan klaster Amazon DocumentDB dengan enkripsi saat istirahat diaktifkan, Anda tidak perlu mengubah logika aplikasi atau koneksi klien Anda. Amazon DocumentDB menangani enkripsi dan dekripsi data Anda secara transparan, dengan dampak minimal terhadap performa.

Amazon DocumentDB terintegrasi AWS KMS dengan dan menggunakan metode yang dikenal sebagai enkripsi amplop untuk melindungi data Anda. [Ketika cluster Amazon DocumentDB dienkripsi dengan, AWS KMS Amazon DocumentDB AWS KMS meminta untuk menggunakan kunci KMS Anda untuk menghasilkan kunci data ciphertext untuk mengenkripsi volume penyimpanan.](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) Kunci data ciphertext dienkripsi menggunakan kunci KMS yang Anda tentukan, dan disimpan bersama dengan data terenkripsi dan metadata penyimpanan. Saat Amazon DocumentDB perlu mengakses data terenkripsi Anda, Amazon DocumentDB AWS KMS meminta untuk mendekripsi kunci data ciphertext menggunakan kunci KMS Anda dan menyimpan kunci data teks biasa di memori untuk mengenkripsi dan mendekripsi data secara efisien dalam volume penyimpanan.

Fasilitas enkripsi penyimpanan di Amazon DocumentDB tersedia untuk semua ukuran instans yang didukung dan di semua tempat Wilayah AWS Amazon DocumentDB tersedia.

## Mengaktifkan enkripsi saat istirahat untuk cluster Amazon DocumentDB
<a name="encryption-at-rest-enabling"></a>

Anda dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat di klaster Amazon DocumentDB saat klaster disediakan menggunakan atau Konsol Manajemen AWS (). AWS Command Line Interface AWS CLI Klaster yang Anda buat menggunakan konsol memiliki enkripsi saat istirahat yang diaktifkan secara default. Cluster yang Anda buat menggunakan enkripsi AWS CLI memiliki saat istirahat dinonaktifkan secara default. Oleh karena itu, Anda harus secara eksplisit mengaktifkan enkripsi saat istirahat menggunakan parameter `--storage-encrypted`. Dalam kedua kasus tersebut, setelah klaster dibuat, Anda tidak dapat mengubah opsi enkripsi saat istirahat.

Amazon DocumentDB AWS KMS menggunakan untuk mengambil dan mengelola kunci enkripsi, dan untuk menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. Jika Anda tidak menentukan pengenal AWS KMS kunci, Amazon DocumentDB menggunakan kunci KMS layanan AWS terkelola default. Amazon DocumentDB membuat kunci KMS terpisah untuk masing-masing di Anda. Wilayah AWS Akun AWS Untuk informasi selengkapnya, lihat[AWS Key Management Service Konsep](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html). 

Untuk memulai membuat kunci KMS Anda sendiri, lihat [Memulai](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) di *Panduan AWS Key Management Service Pengembang*. 

**penting**  
Anda harus menggunakan kunci KMS enkripsi simetris untuk mengenkripsi klaster Anda karena Amazon DocumentDB hanya mendukung kunci KMS enkripsi simetris. Jangan gunakan kunci KMS asimetris untuk mencoba mengenkripsi data di cluster Amazon DocumentDB Anda. Untuk informasi selengkapnya, lihat [Kunci asimetris AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) *Panduan AWS Key Management Service Pengembang*. 

Jika Amazon DocumentDB tidak dapat lagi mengakses kunci KMS untuk klaster — misalnya, ketika Akun AWS kunci yang memiliki ditangguhkan, kunci dinonaktifkan, kunci dijadwalkan untuk dihapus, atau kebijakan kunci atau pemberian yang diandalkan Amazon DocumentDB dihapus — klaster pertama kali beralih ke status. `inaccessible-encryption-credentials-recoverable` Saat klaster berada dalam status ini, Amazon DocumentDB menghentikan instance cluster dan Anda tidak dapat membaca dari atau menulis ke cluster, tetapi cluster masih dapat dipulihkan jika akses ke kunci KMS dipulihkan dalam 7 hari. Jika akses tidak dipulihkan dalam 7 hari, klaster akan beralih ke `inaccessible-encryption-credentials` status terminal. Dari status terminal, klaster tidak lagi tersedia dan status database saat ini tidak dapat dipulihkan — Anda hanya dapat memulihkan dari cadangan atau melakukan pemulihan point-in-time menggunakan kunci KMS asli. Untuk Amazon DocumentDB, backup selalu diaktifkan setidaknya selama 1 hari.

**catatan**  
Cluster yang merupakan bagian dari cluster global berperilaku berbeda. Ketika Amazon DocumentDB mendeteksi bahwa Amazon DocumentDB tidak dapat lagi mengakses kunci KMS, semua cluster dalam klaster global bertransisi langsung ke status `inaccessible-encryption-credentials` terminal, melewatkan status yang dapat dipulihkan. Ini karena cluster yang merupakan bagian dari cluster global dapat dihentikan dan dimulai hanya ketika itu adalah satu-satunya cluster di cluster global. Untuk memulihkan, Anda harus memulihkan dari snapshot atau melakukan pemulihan point-in-time. Untuk menghapus cluster asli, Anda harus terlebih dahulu menghapus setiap cluster dari cluster global dan kemudian menghapusnya.

**penting**  
Anda tidak dapat mengubah kunci KMS untuk cluster terenkripsi setelah Anda membuatnya. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.

------
#### [ Using the Konsol Manajemen AWS ]

Anda menentukan opsi enkripsi saat istirahat saat membuat klaster. Enkripsi saat istirahat diaktifkan secara default saat Anda membuat klaster menggunakan Konsol Manajemen AWS. Itu tidak dapat diubah setelah klaster dibuat. 

**Untuk menentukan opsi enkripsi saat istirahat saat membuat klaster Anda**

1. Buat klaster Amazon DocumentDB seperti yang dijelaskan di bagian [Memulai](https://docs.aws.amazon.com/documentdb/latest/developerguide/connect-ec2.launch-cluster.html). Namun, pada langkah 6, jangan pilih **Buat klaster**. 

1. Di bawah bagian **Autentikasi**, pilih **Tampilkan pengaturan lanjutan**.

1. Gulir ke bawah ke **Encryption-at-rest**bagian.

1. Pilih opsi yang Anda inginkan untuk enkripsi saat istirahat. Opsi mana pun yang Anda pilih, Anda tidak dapat mengubahnya setelah klaster dibuat.
   + Untuk mengenkripsi data at rest di klaster ini, pilih **Aktifkan enkripsi**.
   + Jika Anda tidak ingin mengenkripsi data at rest di klaster ini, pilih **Nonaktifkan enkripsi**. 

1. Pilih kunci utama yang Anda inginkan. Amazon DocumentDB menggunakan AWS Key Management Service AWS KMS() untuk mengambil dan mengelola kunci enkripsi, dan untuk menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. Jika Anda tidak menentukan pengenal AWS KMS kunci, Amazon DocumentDB menggunakan kunci KMS layanan AWS terkelola default. Untuk informasi selengkapnya, lihat[AWS Key Management Service Konsep](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html). 
**catatan**  
Setelah Anda membuat cluster terenkripsi, Anda tidak dapat mengubah kunci KMS untuk cluster itu. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.

1. Lengkapi bagian lain yang diperlukan, dan buat klaster Anda.

------
#### [ Using the AWS CLI ]

Untuk mengenkripsi cluster Amazon DocumentDB AWS CLI menggunakan, [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)jalankan perintah dan tentukan opsi. `--storage-encrypted` Cluster Amazon DocumentDB dibuat menggunakan AWS CLI enkripsi jangan aktifkan penyimpanan secara default.

Contoh berikut membuat klaster Amazon DocumentDB dengan enkripsi penyimpanan yang diaktifkan.

Dalam contoh berikut, ganti masing-masing {{user input placeholder}} dengan informasi cluster Anda.

**Example**  
Untuk Linux, macOS, atau Unix:  

```
aws docdb create-db-cluster \
  --db-cluster-identifier {{mydocdbcluster}} \
  --port 27017 \
  --engine docdb \
  --master-username {{SampleUser1}} \
  --master-user-password {{primaryPassword}} \
  --storage-encrypted
```
Untuk Windows:  

```
aws docdb create-db-cluster ^
  --db-cluster-identifier {{SampleUser1}} ^
  --port 27017 ^
  --engine docdb ^
  --master-username {{SampleUser1}} ^
  --master-user-password {{primaryPassword}} ^
  --storage-encrypted
```

Saat membuat kluster Amazon DocumentDB terenkripsi, Anda dapat menentukan pengenal kunci, seperti pada AWS KMS contoh berikut.

**Example**  
Untuk Linux, macOS, atau Unix:  

```
aws docdb create-db-cluster \
  --db-cluster-identifier {{SampleUser1}} \
  --port 27017 \
  --engine docdb \
  --master-username {{primaryUsername}} \
  --master-user-password {{yourPrimaryPassword}} \
  --storage-encrypted \
  --kms-key-id {{key-arn-or-alias}}
```
Untuk Windows:  

```
aws docdb create-db-cluster ^
  --db-cluster-identifier {{SampleUser1}} ^
  --port 27017 ^
  --engine docdb ^
  --master-username {{SampleUser1}} ^
  --master-user-password {{primaryPassword}} ^
  --storage-encrypted ^
  --kms-key-id {{key-arn-or-alias}}
```

**catatan**  
Setelah Anda membuat cluster terenkripsi, Anda tidak dapat mengubah kunci KMS untuk cluster itu. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum membuat klaster terenkripsi Anda.

------

## Menyelesaikan cluster Amazon DocumentDB dalam status enkripsi yang tidak dapat diakses
<a name="encryption-at-rest-inaccessible"></a>

Cluster Amazon DocumentDB pindah ke status enkripsi yang tidak dapat diakses saat Amazon DocumentDB tidak dapat mengakses kunci KMS yang dienkripsi oleh cluster. Ada dua status seperti itu, dan jalur pemulihan tergantung pada mana cluster berada.

### `inaccessible-encryption-credentials-recoverable`status
<a name="encryption-at-rest-inaccessible-recoverable"></a>

Saat klaster dalam `inaccessible-encryption-credentials-recoverable` status, Anda dapat mengembalikan cluster `available` dengan memulihkan akses Amazon DocumentDB ke kunci KMS dan kemudian memulai cluster. Untuk mengatasi status ini, lakukan hal berikut:

1. Konfirmasikan Akun AWS bahwa yang memiliki kunci KMS aktif. Jika akun ditangguhkan, aktifkan kembali.

1. Konfirmasikan bahwa kunci KMS diaktifkan. Untuk informasi selengkapnya, lihat [Mengaktifkan dan menonaktifkan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) di *Panduan Developer AWS Key Management Service *.

1. Periksa apakah kunci KMS dijadwalkan untuk dihapus. Jika ya, batalkan penghapusan kunci yang dijadwalkan. *Untuk informasi selengkapnya, lihat [Menjadwalkan dan membatalkan penghapusan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html) di Panduan Pengembang.AWS Key Management Service *

1. Konfirmasikan bahwa kebijakan kunci KMS dan hibah apa pun yang diandalkan Amazon DocumentDB masih mengizinkan Amazon DocumentDB untuk menggunakan kunci tersebut.

1. Setelah akses ke kunci KMS dipulihkan, mulai cluster dengan menggunakan Konsol Manajemen AWS atau dengan menjalankan `start-db-cluster` AWS CLI perintah.  
**Example**  

   Untuk Linux, macOS, atau Unix:

   ```
   aws docdb start-db-cluster \
     --db-cluster-identifier {{example-cluster}}
   ```

   Untuk Windows:

   ```
   aws docdb start-db-cluster ^
     --db-cluster-identifier {{example-cluster}}
   ```

**penting**  
Jika akses ke kunci KMS tidak dipulihkan dalam 7 hari, klaster akan beralih ke `inaccessible-encryption-credentials` status terminal, dari mana ia tidak dapat dimulai.

### `inaccessible-encryption-credentials`status
<a name="encryption-at-rest-inaccessible-terminal"></a>

`inaccessible-encryption-credentials`Statusnya adalah terminal. Cluster tidak dapat dimulai, dan status menjalankan database tidak dapat dipulihkan. Untuk memulihkan data Anda, pulihkan dari snapshot atau lakukan pemulihan point-in-time ke cluster baru. Anda masih harus memiliki akses ke kunci KMS asli untuk melakukan pemulihan. Jika kunci KMS dihapus, data tidak dapat dipulihkan.

Untuk informasi selengkapnya, lihat [Memulihkan dari snapshot cluster](backup_restore-restore_from_snapshot.md) dan [Memulihkan ke titik waktu](backup_restore-point_in_time_recovery.md).

**catatan**  
Cluster yang merupakan bagian dari transisi klaster global langsung ke `inaccessible-encryption-credentials` status ketika akses ke kunci KMS hilang, karena cluster yang merupakan bagian dari cluster global dapat dihentikan dan dimulai hanya ketika itu adalah satu-satunya cluster di cluster global. Untuk menghapus klaster yang berada dalam status ini, pertama-tama hapus setiap cluster dari cluster global, lalu hapus cluster satu per satu.

Jika Anda tidak dapat menghapus klaster yang berada dalam `inaccessible-encryption-credentials` status karena perlindungan penghapusan diaktifkan, matikan perlindungan penghapusan dengan menggunakan AWS CLI sebelum mencoba ulang penghapusan.

**Example**  
Untuk Linux, macOS, atau Unix:  

```
aws docdb modify-db-cluster \
  --db-cluster-identifier {{example-cluster}} \
  --no-deletion-protection
```
Untuk Windows:  

```
aws docdb modify-db-cluster ^
  --db-cluster-identifier {{example-cluster}} ^
  --no-deletion-protection
```

Anda kemudian dapat menghapus cluster dengan menggunakan `delete-db-cluster` perintah.

**Example**  
Untuk Linux, macOS, atau Unix:  

```
aws docdb delete-db-cluster \
  --db-cluster-identifier {{example-cluster}} \
  --skip-final-snapshot
```
Untuk Windows:  

```
aws docdb delete-db-cluster ^
  --db-cluster-identifier {{example-cluster}} ^
  --skip-final-snapshot
```

[Jika cluster tidak menghapus setelah Anda menjalankan perintah sebelumnya, hubungi Support AWS .](https://aws.amazon.com/support)

## Batasan untuk cluster terenkripsi Amazon DocumentDB
<a name="encryption-at-rest-limits"></a>

Keterbatasan berikut ada untuk klaster terenkripsi Amazon DocumentDB.
+ Anda dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat untuk klaster Amazon DocumentDB hanya pada saat klaster dibuat, bukan setelah klaster telah dibuat. Namun, Anda dapat membuat salinan terenkripsi dari klaster yang tidak terenkripsi dengan membuat snapshot dari klaster yang tidak terenkripsi, lalu memulihkan snapshot yang tidak terenkripsi sebagai klaster baru sambil menentukan opsi enkripsi saat istirahat.

  Untuk informasi selengkapnya, lihat topik berikut:
  + [Membuat snapshot cluster manual](backup_restore-create_manual_cluster_snapshot.md)
  + [Memulihkan dari snapshot cluster](backup_restore-restore_from_snapshot.md)
  + [Menyalin snapshot cluster Amazon DocumentDB](backup_restore-copy_cluster_snapshot.md)
+ Klaster Amazon DocumentDB dengan enkripsi penyimpanan yang diaktifkan tidak dapat dimodifikasi untuk menonaktifkan enkripsi.
+ Semua instance, backup otomatis, snapshot, dan indeks dalam cluster Amazon DocumentDB dienkripsi dengan kunci KMS yang sama.