提问人:mathiasbn 提问时间:11/17/2023 更新时间:11/17/2023 访问量:16
AWS 如何管理 RDS 的自动 KMS 密钥轮换
How does AWS manage automatic KMS key rotation for RDS
问:
在 AWS 中。在设置 RDS 数据库时,您可以选择用于加密的 KMS 密钥。 该密钥可以设置为每年自动轮换(例如,AWS 托管式密钥的情况)。
手动旋转
如果您手动执行此操作,则可以创建快照并使用新的 KMS 密钥还原它 (https://aws.amazon.com/blogs/database/securing-data-in-amazon-rds-using-aws-kms-encryption/)
自动旋转
问题:AWS 如何管理 RDS 的自动 KMS 密钥轮换?
- 它不能在没有计划停机的情况下从快照重新创建
- 它不能忽略它,因为旋转的密钥不再用于加密,而只能用于解密
答:
0赞
ASM
11/17/2023
#1
根据 AWS https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.Keys.html
Amazon RDS 自动与 AWS Key Management Service (AWS KMS) 集成以进行密钥管理。
AWS 托管式密钥是您账户中的 KMS 密钥,由与 AWS KMS 集成的 AWS 服务代表您创建、管理和使用。默认情况下,RDS AWS 托管密钥 (aws/rds) 用于加密。您无法管理、轮换或删除 RDS AWS 托管式密钥。有关 AWS 托管密钥的更多信息,请参阅 AWS Key Management Service Developer Guide 中的 AWS 托管密钥。
编辑以进一步添加:
您无法共享已使用共享快照的 AWS 账户的 AWS 托管式密钥加密的快照。
评论
0赞
mathiasbn
11/20/2023
是的,AWS 托管密钥不能由您管理。尽管如此,它们每年都会自动轮换。您还可以设置自己的客户管理密钥,以实现相同的 1 年自动轮换。而这正是这个问题所涉及的两个案例。您的链接,即进一步的引用:轮换 AWS KMS 密钥
评论