Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengenkripsi sumber daya Neptunus saat istirahat
Data-at-rest enkripsi adalah AWS rekomendasinya. Untuk informasi lebih lanjut, lihat [Data-at-Restdan Data-in-Transit enkripsi](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/encrypting-data-at-rest-and--in-transit.html). Enkripsi diberlakukan di AWS Konsol saat Anda membuat Cluster DB Neptunus baru atau DB Global Neptunus baru. Ini memberikan lapisan perlindungan data tambahan. Ini mengamankan data Anda dari akses tidak sah ke penyimpanan yang mendasarinya dan membantu memenuhi persyaratan kepatuhan untuk enkripsi data-at-rest.
[Untuk mengelola kunci yang digunakan untuk mengenkripsi dan mendekripsi sumber daya Neptunus Anda, Anda menggunakan ().AWS Key Management ServiceAWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/) AWS KMS menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Dengan menggunakan AWS KMS, Anda dapat membuat kunci enkripsi dan menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan. AWS KMS mendukung AWS CloudTrail, sehingga Anda dapat mengaudit penggunaan kunci untuk memverifikasi bahwa kunci sedang digunakan dengan tepat.
Saat istirahat, semua log, cadangan, dan snapshot terkait dienkripsi untuk semua kluster DB Neptunus terenkripsi. Enkripsi Neptunus tidak berlaku untuk log yang diekspor ke Amazon. CloudWatch
## Enkripsi sumber daya Neptunus
Saat Anda membuat Cluster DB Neptunus atau Neptunus Global DB, Anda dapat menyediakan AWS KMS pengenal kunci untuk kunci enkripsi Anda. Jika Anda tidak menentukan pengenal AWS KMS kunci, Neptunus menggunakan kunci `aws/rds` enkripsi Amazon RDS default () di Wilayah. AWS KMS membuat kunci enkripsi default untuk setiap Wilayah di AWS akun Anda. Untuk cluster Neptunus Global, akan ada AWS KMS banyak kunci seperti Wilayah di dalamnya.
Setelah Anda membuat sumber daya Neptunus, Anda tidak dapat mengubah kunci enkripsi untuk sumber daya tersebut. Jadi, pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum Anda membuat sumber daya Neptunus Anda. Jika diperlukan AWS KMS kunci yang berbeda, Anda dapat menggunakan snapshot dari Cluster DB Neptunus yang ada untuk membuat yang baru dengan kunci yang AWS KMS berbeda (lihat). [Melakukan pemulihan dari Snapshot Klaster DB](backup-restore-restore-snapshot.md)
Anda dapat menggunakan Nama Sumber Daya Amazon (ARN) kunci dari akun lain untuk mengenkripsi sumber daya Neptunus. Jika Anda membuat sumber daya Neptunus dengan akun AWS yang sama yang memiliki kunci enkripsi, AWS KMS ID kunci yang Anda lewati dapat menjadi alias kunci, AWS KMS bukan ARN AWS KMS kunci.
**penting**
Jika Neptunus kehilangan akses ke kunci enkripsi untuk Cluster DB Neptunus - misalnya, ketika akses Neptunus ke kunci dicabut - cluster terenkripsi ditempatkan ke status terminal dan hanya dapat dipulihkan dari cadangan. Kami sangat menyarankan agar Anda selalu mengaktifkan cadangan untuk Cluster DB Neptunus terenkripsi untuk mencegah hilangnya data terenkripsi dalam database Anda.
## Izin kunci yang dibutuhkan saat mengaktifkan enkripsi
Pengguna IAM atau peran yang membuat Cluster DB Neptunus harus memiliki setidaknya izin berikut untuk kunci KMS:
+ `"kms:Encrypt"`
+ `"kms:Decrypt"`
+ `"kms:GenerateDataKey"`
+ `"kms:ReEncryptTo"`
+ `"kms:GenerateDataKeyWithoutPlaintext"`
+ `"kms:CreateGrant"`
+ `"kms:ReEncryptFrom"`
+ `"kms:DescribeKey"`
Berikut adalah contoh (untuk `us-east-1` wilayah) kebijakan utama yang mencakup izin yang diperlukan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable Permissions for root principal",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow use of the key for Neptune",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/NeptuneFullAccess"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptTo",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:CreateGrant",
"kms:ReEncryptFrom",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "rds.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Deny use of the key for non Neptune",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/NeptuneFullAccess"
},
"Action": [
"kms:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"kms:ViaService": "rds.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
+ Pernyataan pertama dalam kebijakan ini adalah opsional. Ini memberikan akses ke root principal pengguna.
+ Pernyataan kedua menyediakan akses ke semua AWS KMS API yang diperlukan untuk peran ini, tercakup ke Prinsip Layanan RDS.
+ Pernyataan ketiga memperketat keamanan lebih dengan menegakkan bahwa kunci ini tidak dapat digunakan oleh peran ini untuk layanan lain AWS .
Anda juga dapat menurunkan izin `createGrant` lebih lanjut dengan menambahkan:
```
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
```
## Keterbatasan Enkripsi Neptune
Keterbatasan berikut ada untuk Enkripsi Neptunus:
+ Anda tidak dapat mengonversi Cluster DB Neptunus yang tidak terenkripsi menjadi yang terenkripsi. Anda hanya dapat mengaktifkan enkripsi untuk Cluster DB Neptunus saat dibuat. Namun, Anda dapat memulihkan snapshot Neptunus DB Cluster yang tidak terenkripsi ke Cluster DB Neptunus terenkripsi. Untuk melakukan ini, tentukan kunci enkripsi KMS saat Anda memulihkan dari snapshot Neptunus DB Cluster yang tidak terenkripsi.
+ Untuk alasan kompatibilitas, masih dimungkinkan untuk membuat Cluster DB Neptunus yang tidak terenkripsi melalui CLI dan SDK. AWS Konsol hanya memungkinkan pembuatan Cluster DB Neptunus terenkripsi.
+ Anda tidak dapat mencampur Cluster DB Neptunus yang terenkripsi dan tidak terenkripsi dalam DB Global Neptunus yang sama. Entah semua cluster dienkripsi atau semua cluster tidak dienkripsi. Ini diberlakukan dalam konfigurasi DB Global Neptunus.