View a markdown version of this page

Criptografar dados em repouso do Amazon DocumentDB - Amazon DocumentDB
Ativar a criptografia em repousoResolvendo um estado de criptografia inacessívelLimitações para clusters criptografados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografar dados em repouso do Amazon DocumentDB

nota

AWS KMS está substituindo o termo chave mestra do cliente (CMK) por uma AWS KMS keychave KMS. O conceito não mudou. Para evitar alterações significativas, AWS KMS está mantendo algumas variações desse termo.

Você criptografa os dados em repouso em seu cluster do Amazon DocumentDB especificando a opção de criptografia de armazenamento ao criar o cluster. A criptografia de armazenamento é ativada em todo o cluster e é aplicada a todas as instâncias, incluindo a instância principal e todas as réplicas. Ela também é aplicada a volumes de armazenamento, dados, índices, logs, backups automatizados e snapshots do cluster.

O Amazon DocumentDB usa o Advanced Encryption Standard (AES-256) de 256 bits para criptografar seus dados usando chaves de criptografia armazenadas em (). AWS Key Management Service AWS KMS Ao usar um cluster Amazon DocumentDB com criptografia em repouso ativada, você não precisa modificar a lógica da aplicação ou a conexão do cliente. O Amazon DocumentDB lida de forma transparente com a descriptografia de seus dados com um impacto mínimo sobre o desempenho.

O Amazon DocumentDB se integra AWS KMS e usa um método conhecido como criptografia de envelope para proteger seus dados. Quando um cluster do Amazon DocumentDB é criptografado com um AWS KMS, o Amazon DocumentDB AWS KMS solicita o uso da sua chave KMS para gerar uma chave de dados de texto cifrado para criptografar o volume de armazenamento. A chave de dados de texto cifrado é criptografada usando a chave KMS definida e armazenada com os dados criptografados e os metadados de armazenamento. Quando o Amazon DocumentDB precisa acessar seus dados criptografados, ele solicita AWS KMS a descriptografia da chave de dados de texto cifrado usando sua chave KMS e armazena em cache a chave de dados de texto simples na memória para criptografar e descriptografar com eficiência os dados no volume de armazenamento.

O recurso de criptografia de armazenamento no Amazon DocumentDB está disponível para todos os tamanhos de instância compatíveis e em todos os Regiões da AWS lugares onde o Amazon DocumentDB está disponível.

Ativar a criptografia em repouso para um cluster do Amazon DocumentDB

Você pode ativar ou desativar a criptografia em repouso em um cluster Amazon DocumentDB quando o cluster é provisionado usando o Console de gerenciamento da AWS ou o (). AWS Command Line Interface AWS CLI Os clusters criados usando o console têm a criptografia em repouso habilitada por padrão. Os clusters que você cria usando o AWS CLI têm a criptografia em repouso desativada por padrão. Portanto, você deve explicitamente habilitar a criptografia em repouso usando o parâmetro --storage-encrypted. Em ambos os casos, após o cluster ser criado, não é possível alterar a opção de criptografia em repouso.

O Amazon DocumentDB usa AWS KMS para recuperar e gerenciar chaves de criptografia e definir as políticas que controlam como essas chaves podem ser usadas. Se você não especificar um identificador de AWS KMS chave, o Amazon DocumentDB usa a chave KMS de serviço AWS gerenciado padrão. O Amazon DocumentDB cria uma chave KMS separada para cada Região da AWS uma em sua. Conta da AWS Para obter mais informações, consulte Conceitos do AWS Key Management Service.

Para começar a criar sua própria chave KMS, consulte Conceitos básicos no Guia do Desenvolvedor da AWS Key Management Service .

Importante

É necessário usar uma chave do KMS de criptografia simétrica para criptografar seu cluster, pois o Amazon DocumentDB só oferece suporte a chaves KMS de criptografia simétrica. Não use uma chave KMS assimétrica para tentar criptografar os dados nos clusters do Amazon DocumentDB. Para ter mais informações, consulte Chaves assimétricas do AWS KMS no Guia do desenvolvedor do AWS Key Management Service .

Se o Amazon DocumentDB não puder mais acessar a chave KMS de um cluster — por exemplo, quando o proprietário da chave é suspenso, a chave é desativada, a chave é programada para exclusão ou a política ou concessão de chaves da Conta da AWS qual o Amazon DocumentDB depende é removida — o cluster primeiro faz a transição para o status. inaccessible-encryption-credentials-recoverable Enquanto o cluster está nesse status, o Amazon DocumentDB interrompe as instâncias do cluster e você não pode ler ou gravar no cluster, mas o cluster ainda pode ser recuperado se o acesso à chave KMS for restaurado em 7 dias. Se o acesso não for restaurado em 7 dias, o cluster passará para o inaccessible-encryption-credentials status de terminal. A partir do status do terminal, o cluster não está mais disponível e o estado atual do banco de dados não pode ser recuperado — você só pode restaurar a partir de um backup ou realizar uma restauração pontual usando a chave KMS original. Para o Amazon DocumentDB, os backups estão sempre habilitados por pelo menos 1 dia.

nota

Os clusters que fazem parte de um cluster global se comportam de forma diferente. Quando o Amazon DocumentDB detecta que não pode mais acessar a chave KMS, todos os clusters no cluster global passam diretamente para o status do terminal, ignorando o inaccessible-encryption-credentials status recuperável. Isso ocorre porque um cluster que faz parte de um cluster global só pode ser interrompido e iniciado quando for o único cluster no cluster global. Para se recuperar, você deve restaurar a partir de um snapshot ou realizar uma restauração pontual. Para excluir os clusters originais, você deve primeiro remover cada cluster do cluster global e depois excluí-lo.

Importante

Não é possível alterar a chave KMS para um cluster criptografado depois de já tê-lo criado. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seu cluster criptografado.

Using the Console de gerenciamento da AWS

Especifique a opção de criptografia em repouso ao criar um cluster. A criptografia em repouso é habilitada por padrão quando você cria um cluster usando o Console de gerenciamento da AWS. Não é possível alterá-la após criar o cluster.

Para especificar a opção de criptografia em repouso ao criar o cluster

  1. Crie um cluster do Amazon DocumentDB conforme descrito na seção Conceitos básicos. No entanto, na etapa 6, não selecione Criar cluster.

  2. Abaixo da seção Autenticação, escolha Mostrar configurações avançadas.

  3. Role para baixo até a seção Encryption-at-rest.

  4. Escolha a opção que deseja para a criptografia em repouso. Seja qual for a opção que escolher, não será possível alterá-la após criar o cluster.

    • Para criptografar dados em repouso nesse cluster, selecione Habilitar criptografia.

    • Caso não queira criptografar dados em repouso nesse cluster, selecione Desabilitar criptografia.

  5. Escolha a chave primária que você deseja. O Amazon DocumentDB usa o AWS Key Management Service (AWS KMS) para recuperar e gerenciar chaves de criptografia e definir as políticas que controlam como essas chaves podem ser usadas. Se você não especificar um identificador de AWS KMS chave, o Amazon DocumentDB usa a chave KMS de serviço AWS gerenciado padrão. Para obter mais informações, consulte Conceitos do AWS Key Management Service.

    nota

    Depois de criar um cluster criptografado, não é possível alterar a chave KMS para esse cluster. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seu cluster criptografado.

  6. Complete as outras seções conforme o necessário e crie o cluster.

Using the AWS CLI

Para criptografar um cluster do Amazon DocumentDB usando AWS CLI o, execute o comando e especifique create-db-cluster--storage-encrypteda opção. Os clusters do Amazon DocumentDB criados usando o AWS CLI não habilitam a criptografia de armazenamento por padrão.

Veja a seguir um exemplo de como criar um cluster do Amazon DocumentDB com a criptografia de armazenamento ativada.

Nos exemplos a seguir, substitua cada um user input placeholder pelas informações do seu cluster.

exemplo

Para Linux, macOS ou Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier mydocdbcluster \
  --port 27017 \
  --engine docdb \
  --master-username SampleUser1 \
  --master-user-password primaryPassword \
  --storage-encrypted

Para Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted

Ao criar um cluster criptografado do Amazon DocumentDB, você pode especificar um identificador de AWS KMS chave, como no exemplo a seguir.

exemplo

Para Linux, macOS ou Unix:

aws docdb create-db-cluster \
  --db-cluster-identifier SampleUser1 \
  --port 27017 \
  --engine docdb \
  --master-username primaryUsername \
  --master-user-password yourPrimaryPassword \
  --storage-encrypted \
  --kms-key-id key-arn-or-alias

Para Windows:

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted ^
  --kms-key-id key-arn-or-alias
nota

Depois de criar um cluster criptografado, não é possível alterar a chave KMS para esse cluster. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seu cluster criptografado.

Resolvendo um cluster Amazon DocumentDB em um estado de criptografia inacessível

Um cluster do Amazon DocumentDB passa para um status de criptografia inacessível quando o Amazon DocumentDB não consegue acessar a chave KMS com a qual o cluster foi criptografado. Existem dois desses status, e o caminho de recuperação depende de qual deles o cluster está.

Status do inaccessible-encryption-credentials-recoverable

Enquanto o cluster estiver no inaccessible-encryption-credentials-recoverable status, você pode retornar o cluster available restaurando o acesso do Amazon DocumentDB à chave KMS e, em seguida, iniciando o cluster. Para resolver esse status, faça o seguinte:

  1. Confirme se Conta da AWS o proprietário da chave KMS está ativo. Se a conta for suspensa, reative-a.

  2. Confirme se a chave KMS está ativada. Para obter mais informações, consulte Habilitar e desabilitar chaves no AWS Key Management Service Guia do desenvolvedor do .

  3. Verifique se a chave KMS está programada para ser excluída. Se estiver, cancele a exclusão programada da chave. Para obter mais informações, consulte Agendamento e cancelamento da exclusão de chaves no Guia do AWS Key Management Service desenvolvedor.

  4. Confirme se a política de chaves do KMS e quaisquer concessões das quais o Amazon DocumentDB depende ainda permitem que o Amazon DocumentDB use a chave.

  5. Depois que o acesso à chave KMS for restaurado, inicie o cluster usando Console de gerenciamento da AWS ou executando o start-db-cluster AWS CLI comando.

    exemplo

    Para Linux, macOS ou Unix:

    aws docdb start-db-cluster \
  --db-cluster-identifier example-cluster

    Para Windows:

    aws docdb start-db-cluster ^
  --db-cluster-identifier example-cluster
Importante

Se o acesso à chave KMS não for restaurado em 7 dias, o cluster passará para o inaccessible-encryption-credentials status do terminal, a partir do qual não poderá ser iniciado.

Status do inaccessible-encryption-credentials

O inaccessible-encryption-credentials status é terminal. O cluster não pode ser iniciado e o estado de execução do banco de dados não pode ser recuperado. Para recuperar seus dados, restaure a partir de um snapshot ou execute uma restauração pontual em um novo cluster. Você ainda deve ter acesso à chave KMS original para realizar a restauração. Se a chave KMS foi excluída, os dados não poderão ser recuperados.

Para obter mais informações, consulte Restauração de um snapshot de cluster e Restauração para um ponto no tempo.

nota

Os clusters que fazem parte de um cluster global passam diretamente para o inaccessible-encryption-credentials status quando o acesso à chave KMS é perdido, porque um cluster que faz parte de um cluster global só pode ser interrompido e iniciado quando é o único cluster no cluster global. Para excluir um cluster com esse status, primeiro remova cada cluster do cluster global e, em seguida, exclua os clusters individualmente.

Se você não conseguir excluir um cluster que está no inaccessible-encryption-credentials status porque a proteção contra exclusão está ativada, desative a proteção contra exclusão usando o AWS CLI antes de tentar a exclusão novamente.

exemplo

Para Linux, macOS ou Unix:

aws docdb modify-db-cluster \
  --db-cluster-identifier example-cluster \
  --no-deletion-protection

Para Windows:

aws docdb modify-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --no-deletion-protection

Em seguida, você pode excluir o cluster usando o delete-db-cluster comando.

exemplo

Para Linux, macOS ou Unix:

aws docdb delete-db-cluster \
  --db-cluster-identifier example-cluster \
  --skip-final-snapshot

Para Windows:

aws docdb delete-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --skip-final-snapshot

Se o cluster não for excluído após a execução dos comandos anteriores, entre em contato com o AWS Support.

Limitações para clusters criptografados do Amazon DocumentDB

As seguintes limitações existem para clusters criptografados do Amazon DocumentDB.

  • É possível habilitar ou desabilitar a criptografia em repouso para um cluster do Amazon DocumentDB somente no momento em que ele é criado, e não após a criação ser concluída. No entanto, é possível criar uma cópia criptografada de um cluster decriptografado criando um snapshot do cluster decriptografado e, em seguida, restaure o snapshot decriptografado como um novo cluster ao especificar a opção de criptografia em repouso.

    Para saber mais, consulte os seguintes tópicos:

  • Os clusters do Amazon DocumentDB com criptografia de armazenamento habilitada não podem ser modificados para desabilitar a criptografia.

  • Todas as instâncias, os backups automatizados, os snapshots e os índices em um cluster do Amazon DocumentDB são criptografados com a mesma chave KMS.