View a markdown version of this page

Crittografia delle risorse di Neptune a riposo - Amazon Neptune
Abilitazione della crittografiaAutorizzazioni chiaveLimitazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia delle risorse di Neptune a riposo

Data-at-rest la crittografia è la raccomandazione. AWS Per ulteriori informazioni, vedere Data-at-Reste Data-in-Transit crittografia. La crittografia viene applicata nella AWS Console quando si crea un nuovo cluster Neptune DB o un nuovo Neptune Global DB. Ciò fornisce un ulteriore livello di protezione dei dati. Protegge i dati dall'accesso non autorizzato allo storage sottostante e aiuta a soddisfare i requisiti di conformità per la crittografia dei dati a riposo.

Per gestire le chiavi utilizzate per crittografare e decrittografare le risorse di Neptune, si utilizza ().AWS Key Management ServiceAWS KMS AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Utilizzando AWS KMS, è possibile creare chiavi di crittografia e definire le politiche che controllano il modo in cui tali chiavi possono essere utilizzate. AWS KMS supporta AWS CloudTrail, in modo da poter controllare l'utilizzo delle chiavi per verificare che vengano utilizzate in modo appropriato.

A riposo, tutti i log, i backup e le istantanee correlati sono crittografati per qualsiasi cluster Neptune DB crittografato. La crittografia Neptune non si applica ai log esportati su Amazon. CloudWatch

Crittografia delle risorse di Neptune

Quando crei un cluster Neptune DB o un Neptune Global DB, puoi fornire AWS KMS l'identificatore della chiave per la tua chiave di crittografia. Se non specifichi un identificatore di AWS KMS chiave, Neptune utilizza la chiave aws/rds di crittografia Amazon RDS predefinita () nella regione. AWS KMS crea una chiave di crittografia predefinita per ogni regione del tuo account. AWS Per un cluster Neptune Global, ci saranno AWS KMS tante chiavi quante sono le Regioni al suo interno.

Dopo aver creato una risorsa Neptune, non puoi modificare la chiave di crittografia per quella risorsa. Quindi, assicuratevi di determinare i requisiti della chiave di crittografia prima di creare la risorsa Neptune. Se è richiesta una AWS KMS chiave diversa, è possibile utilizzare un'istantanea del cluster Neptune DB esistente per crearne uno nuovo con una chiave AWS KMS diversa (vedi). Ripristino da una snapshot del cluster di database

Puoi utilizzare l'Amazon Resource Name (ARN) di una chiave di un altro account per crittografare una risorsa Neptune. Se crei una risorsa Neptune con AWS lo stesso account che possiede la chiave di crittografia, AWS KMS l'ID della chiave che passi può essere AWS KMS l'alias AWS KMS della chiave anziché l'ARN della chiave.

Importante

Se Neptune perde l'accesso alla chiave di crittografia per un cluster Neptune DB, ad esempio quando l'accesso di Neptune a una chiave viene revocato, il cluster crittografato viene posto in uno stato terminale e può essere ripristinato solo da un backup. Ti consigliamo vivamente di abilitare sempre i backup per i cluster Neptune DB crittografati per evitare la perdita di dati crittografati nei tuoi database.

Autorizzazioni chiave necessarie per abilitare la crittografia

L'utente o il ruolo IAM che crea un cluster DB Neptune deve disporre almeno delle seguenti autorizzazioni per la chiave KMS:

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:GenerateDataKey"

  • "kms:ReEncryptTo"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:CreateGrant"

  • "kms:ReEncryptFrom"

  • "kms:DescribeKey"

Ecco un esempio (per us-east-1 regione) di una policy chiave che include le autorizzazioni necessarie:

JSON
{
  "Version":"2012-10-17",
  "Id": "key-consolepolicy-3",
  "Statement": [
    {
      "Sid": "Enable Permissions for root principal",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key for Neptune",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptTo",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:CreateGrant",
        "kms:ReEncryptFrom",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Deny use of the key for non Neptune",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

  • La prima istruzione di questa policy è facoltativa. Fornisce accesso al principale root dell'utente.

  • La seconda istruzione fornisce l'accesso a tutte le AWS KMS API richieste per questo ruolo, limitatamente all'RDS Service Principal.

  • La terza dichiarazione rafforza ulteriormente la sicurezza imponendo che questa chiave non sia utilizzabile da questo ruolo per nessun altro servizio. AWS

È anche possibile ridurre ulteriormente l'ambito delle autorizzazioni createGrant aggiungendo:

"Condition": {
  "Bool": {
    "kms:GrantIsForAWSResource": true
  }
}

Limitazioni della crittografia Neptune

Esistono le seguenti limitazioni per Neptune Encryption:

  • Non è possibile convertire un cluster Neptune DB non crittografato in un cluster crittografato. È possibile abilitare la crittografia per un cluster Neptune DB solo quando viene creato. Tuttavia, è possibile ripristinare uno snapshot del cluster Neptune DB non crittografato su un cluster Neptune DB crittografato. A tale scopo, specifica una chiave di crittografia KMS quando esegui il ripristino dallo snapshot non crittografato del cluster Neptune DB.

  • Per motivi di compatibilità, è ancora possibile creare un cluster Neptune DB non crittografato tramite CLI e SDK. AWS La console consente solo la creazione di cluster Neptune DB crittografati.

  • Non è possibile combinare cluster Neptune DB crittografati e non crittografati nello stesso Neptune Global DB. O tutti i cluster sono crittografati o tutti i cluster non sono crittografati. Questo viene applicato nella configurazione Neptune Global DB.