View a markdown version of this page

Crittografia dei dati di Amazon DocumentDB a riposo - Amazon DocumentDB
Abilitazione della crittografia a riposoRisoluzione di uno stato di crittografia inaccessibileLimitazioni per i cluster crittografati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati di Amazon DocumentDB a riposo

Nota

AWS KMS sta sostituendo il termine chiave master del cliente (CMK) con chiave AWS KMS keyKMS. Il concetto non è cambiato. Per evitare modifiche irreversibili, AWS KMS sta mantenendo alcune varianti di questo termine.

È possibile crittografare i dati inattivi nel cluster Amazon DocumentDB specificando l'opzione di crittografia dello storage al momento della creazione del cluster. La crittografia dello storage è abilitata a livello del cluster e viene applicata a tutte le istanze, incluse l'istanza primaria e le repliche. Viene inoltre applicata al volume di archiviazione, ai dati, agli indici, ai registri, ai backup automatici e agli snapshot.

Amazon DocumentDB utilizza l'Advanced Encryption Standard a 256 bit (AES-256) per crittografare i dati utilizzando chiavi di crittografia archiviate in (). AWS Key Management Service AWS KMS Quando si utilizza un cluster Amazon DocumentDB con crittografia a riposo abilitata, non è necessario modificare la logica dell'applicazione o la connessione client. Amazon DocumentDB gestisce la crittografia e la decrittografia dei dati in modo trasparente, con un impatto minimo sulle prestazioni.

Amazon DocumentDB si integra AWS KMS e utilizza un metodo noto come crittografia a busta per proteggere i dati. Quando un cluster Amazon DocumentDB è crittografato con un AWS KMS, Amazon DocumentDB AWS KMS chiede di utilizzare la tua chiave KMS per generare una chiave dati di testo cifrato per crittografare il volume di storage. La chiave dati ciphertext viene crittografata utilizzando la chiave KMS definita dall'utente e viene archiviata insieme ai dati crittografati e ai metadati di storage. Quando Amazon DocumentDB deve accedere ai tuoi dati crittografati, richiede AWS KMS di decrittografare la chiave dati di testo cifrato utilizzando la tua chiave KMS e memorizza nella cache la chiave di dati in chiaro in memoria per crittografare e decrittografare in modo efficiente i dati nel volume di storage.

La funzionalità di crittografia dello storage in Amazon DocumentDB è disponibile per tutte le dimensioni di istanze supportate e Regioni AWS ovunque sia disponibile Amazon DocumentDB.

Abilitazione della crittografia a riposo per un cluster Amazon DocumentDB

Puoi abilitare o disabilitare la crittografia a riposo su un cluster Amazon DocumentDB quando il provisioning del cluster viene eseguito utilizzando Console di gestione AWS o il AWS Command Line Interface ().AWS CLI I cluster creati utilizzando la console dispongono di crittografia inattiva per impostazione predefinita. I cluster creati utilizzando il AWS CLI hanno la crittografia a riposo disabilitata per impostazione predefinita. Pertanto, è necessario abilitare esplicitamente la crittografia inattiva utilizzando il parametro --storage-encrypted. In entrambi i casi, dopo la creazione del cluster, non è possibile modificare l'opzione di crittografia inattiva.

Amazon DocumentDB lo utilizza AWS KMS per recuperare e gestire le chiavi di crittografia e per definire le policy che controllano il modo in cui queste chiavi possono essere utilizzate. Se non specifichi un identificatore di AWS KMS chiave, Amazon DocumentDB utilizza la chiave KMS del servizio gestito AWS predefinita. Amazon DocumentDB crea una chiave KMS separata per ciascuna Regione AWS unità. Account AWS Per ulteriori informazioni, consulta l'argomento relativo ai concetti di base di AWS Key Management Service.

Per iniziare a creare la tua chiave KMS, consulta Getting Started nella Developer Guide.AWS Key Management Service

Importante

È necessario utilizzare una chiave KMS di crittografia simmetrica per crittografare il cluster poiché Amazon DocumentDB supporta solo chiavi KMS di crittografia simmetrica. Non utilizzare una chiave KMS asimmetrica per tentare di crittografare i dati nei cluster Amazon DocumentDB. Per ulteriori informazioni, consulta Asymmetric keys nella Developer Guide. AWS KMSAWS Key Management Service

Se Amazon DocumentDB non è più in grado di accedere alla chiave KMS per un cluster, ad esempio quando la Account AWS chiave proprietaria viene sospesa, la chiave è disabilitata, la chiave è pianificata per l'eliminazione o la policy o la concessione della chiave su cui si basa Amazon DocumentDB viene rimossa, il cluster passa innanzitutto allo stato. inaccessible-encryption-credentials-recoverable Mentre il cluster si trova in questo stato, Amazon DocumentDB interrompe le istanze del cluster e non è possibile leggere o scrivere sul cluster, ma il cluster può comunque essere ripristinato se l'accesso alla chiave KMS viene ripristinato entro 7 giorni. Se l'accesso non viene ripristinato entro 7 giorni, il cluster passa allo stato del terminale. inaccessible-encryption-credentials Dallo stato del terminale, il cluster non è più disponibile e lo stato corrente del database non può essere ripristinato: è possibile eseguire il ripristino solo da un backup o eseguire un ripristino point-in-time utilizzando la chiave KMS originale. Per Amazon DocumentDB, i backup sono sempre abilitati per almeno 1 giorno.

Nota

I cluster che fanno parte di un cluster globale si comportano in modo diverso. Quando Amazon DocumentDB rileva di non poter più accedere alla chiave KMS, tutti i cluster del cluster globale passano direttamente allo stato del terminale, saltando inaccessible-encryption-credentials lo stato ripristinabile. Questo perché un cluster che fa parte di un cluster globale può essere interrotto e avviato solo quando è l'unico cluster del cluster globale. Per eseguire il ripristino, è necessario eseguire il ripristino da un'istantanea o eseguire un ripristino point-in-time. Per eliminare i cluster originali, è necessario prima rimuovere ogni cluster dal cluster globale e quindi eliminarlo.

Importante

Non è possibile modificare la chiave KMS per un cluster crittografato dopo averlo già creato. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.

Using the Console di gestione AWS

Puoi specificare l'opzione crittografia inattiva al momento della creazione di un cluster. La crittografia inattiva è abilitata per impostazione predefinita quando si crea un cluster utilizzando l'opzione Console di gestione AWS. Non può essere modificata dopo la creazione del cluster.

Per specificare l'opzione crittografia inattiva durante la creazione del cluster

  1. Crea un cluster Amazon DocumentDB come descritto nella sezione Guida introduttiva. Tuttavia, nel passaggio 6, non scegliere Create cluster (Crea cluster).

  2. Nella sezione Authentication (Autenticazione), scegliere Show advanced settings (Mostra impostazioni avanzate).

  3. Scorri verso il basso fino alla Encryption-at-restsezione.

  4. Scegliere l'opzione desiderata per la crittografia inattiva. Qualunque sia l'opzione scelta, non è possibile modificarla dopo la creazione del cluster.

    • Per crittografare i dati inattivi in questo cluster, scegliere Enable encryption (Abilita crittografia).

    • Se non si desidera crittografare i dati inattivi in questo cluster, scegliere Disable encryption (Disabilita crittografia).

  5. Scegli la chiave primaria che desideri. Amazon DocumentDB utilizza AWS Key Management Service (AWS KMS) per recuperare e gestire le chiavi di crittografia e per definire le policy che controllano il modo in cui queste chiavi possono essere utilizzate. Se non specifichi un identificatore di AWS KMS chiave, Amazon DocumentDB utilizza la chiave KMS del servizio gestito AWS predefinita. Per ulteriori informazioni, consulta l'argomento relativo ai concetti di base di AWS Key Management Service.

    Nota

    Dopo aver creato un cluster crittografato, non puoi modificare la chiave KMS per quel cluster. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.

  6. Completare le altre sezioni secondo necessità e creare il cluster.

Using the AWS CLI

Per crittografare un cluster Amazon DocumentDB utilizzando, AWS CLI esegui il comando e specifica create-db-cluster--storage-encryptedl'opzione. I cluster Amazon DocumentDB creati utilizzando la crittografia dello storage AWS CLI non abilita per impostazione predefinita.

L'esempio seguente crea un cluster Amazon DocumentDB con la crittografia dello storage abilitata.

Negli esempi seguenti, sostituisci ciascuno user input placeholder con le informazioni del tuo cluster.

Esempio

Per Linux, macOS o Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier mydocdbcluster \
  --port 27017 \
  --engine docdb \
  --master-username SampleUser1 \
  --master-user-password primaryPassword \
  --storage-encrypted

Per Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted

Quando crei un cluster Amazon DocumentDB crittografato, puoi specificare un identificatore di AWS KMS chiave, come nell'esempio seguente.

Esempio

Per Linux, macOS o Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier SampleUser1 \
  --port 27017 \
  --engine docdb \
  --master-username primaryUsername \
  --master-user-password yourPrimaryPassword \
  --storage-encrypted \
  --kms-key-id key-arn-or-alias

Per Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted ^
  --kms-key-id key-arn-or-alias
Nota

Dopo aver creato un cluster crittografato, non puoi modificare la chiave KMS per quel cluster. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.

Risoluzione di un cluster Amazon DocumentDB in uno stato di crittografia inaccessibile

Un cluster Amazon DocumentDB passa a uno stato di crittografia inaccessibile quando Amazon DocumentDB non può accedere alla chiave KMS con cui il cluster è stato crittografato. Esistono due stati di questo tipo e il percorso di ripristino dipende da quello in cui si trova il cluster.

Stato di inaccessible-encryption-credentials-recoverable

Mentre il cluster è nello inaccessible-encryption-credentials-recoverable stato, puoi ripristinarlo available ripristinando l'accesso di Amazon DocumentDB alla chiave KMS e quindi avviando il cluster. Per risolvere questo stato, procedi come segue:

  1. Verifica Account AWS che il proprietario della chiave KMS sia attivo. Se l'account è sospeso, riattivalo.

  2. Verifica che la chiave KMS sia abilitata. Per ulteriori informazioni, consulta Abilitazione e disattivazione delle chiavi nella Guida per gli AWS Key Management Service sviluppatori.

  3. Verifica se la chiave KMS è pianificata per l'eliminazione. In tal caso, annulla l'eliminazione pianificata della chiave. Per ulteriori informazioni, consulta Pianificazione e annullamento dell'eliminazione delle chiavi nella Guida per gli AWS Key Management Service sviluppatori.

  4. Verifica che la policy della chiave KMS e tutte le concessioni su cui si basa Amazon DocumentDB consentano comunque ad Amazon DocumentDB di utilizzare la chiave.

  5. Una volta ripristinato l'accesso alla chiave KMS, avvia il cluster utilizzando o eseguendo il Console di gestione AWS comando. start-db-cluster AWS CLI

    Esempio

    Per Linux, macOS o Unix:

    aws docdb start-db-cluster \
  --db-cluster-identifier example-cluster

    Per Windows:

    aws docdb start-db-cluster ^
  --db-cluster-identifier example-cluster
Importante

Se l'accesso alla chiave KMS non viene ripristinato entro 7 giorni, il cluster passa allo inaccessible-encryption-credentials stato del terminale, da cui non può essere avviato.

Stato di inaccessible-encryption-credentials

Lo inaccessible-encryption-credentials stato è terminale. Il cluster non può essere avviato e lo stato di esecuzione del database non può essere ripristinato. Per ripristinare i dati, esegui il ripristino da un'istantanea o esegui un ripristino point-in-time su un nuovo cluster. È necessario avere ancora accesso alla chiave KMS originale per eseguire il ripristino. Se la chiave KMS è stata eliminata, i dati non possono essere recuperati.

Per ulteriori informazioni, consultare Ripristino da un'istantanea del cluster e Ripristino in un determinato momento.

Nota

I cluster che fanno parte di un cluster globale passano direttamente allo inaccessible-encryption-credentials stato in cui si verifica quando si perde l'accesso alla chiave KMS, poiché un cluster che fa parte di un cluster globale può essere interrotto e avviato solo quando è l'unico cluster del cluster globale. Per eliminare un cluster con questo stato, rimuovi prima ogni cluster dal cluster globale, quindi elimina i cluster singolarmente.

Se non riesci a eliminare un cluster che si trova in questo inaccessible-encryption-credentials stato perché la protezione da eliminazione è abilitata, disattiva la protezione dall'eliminazione utilizzando il comando AWS CLI prima di riprovare l'eliminazione.

Esempio

Per Linux, macOS o Unix:

aws docdb modify-db-cluster \
  --db-cluster-identifier example-cluster \
  --no-deletion-protection

Per Windows:

aws docdb modify-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --no-deletion-protection

È quindi possibile eliminare il cluster utilizzando il delete-db-cluster comando.

Esempio

Per Linux, macOS o Unix:

aws docdb delete-db-cluster \
  --db-cluster-identifier example-cluster \
  --skip-final-snapshot

Per Windows:

aws docdb delete-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --skip-final-snapshot

Se il cluster non viene eliminato dopo aver eseguito i comandi precedenti, contatta l'AWS assistenza.

Limitazioni per i cluster crittografati di Amazon DocumentDB

Esistono le seguenti limitazioni per i cluster crittografati di Amazon DocumentDB.

  • È possibile abilitare o disabilitare la crittografia a riposo per un cluster Amazon DocumentDB solo al momento della creazione, non dopo la creazione del cluster. Tuttavia, è possibile creare una copia crittografata di un cluster non crittografato creando un'istantanea del cluster non crittografato e quindi ripristinando l'istantanea non crittografata come nuovo cluster specificando l'opzione di crittografia a riposo.

    Per ulteriori informazioni, consulta i seguenti argomenti:

  • I cluster Amazon DocumentDB con crittografia dello storage abilitata non possono essere modificati per disabilitare la crittografia.

  • Tutte le istanze, i backup automatici, le istantanee e gli indici in un cluster Amazon DocumentDB sono crittografati con la stessa chiave KMS.