Amazon Relational Database Service (Amazon RDS) 如何使用 Amazon KMS - Amazon Key Management Service
Amazon RDS 加密上下文
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Relational Database Service (Amazon RDS) 如何使用 Amazon KMS

您可以使用 Amazon Relational Database Service (Amazon RDS)在云中设置、操作和扩展关系数据库。根据需要,您可选择使用 Amazon KMS 中的 Amazon KMS key(KMS 密钥)为您的 Amazon RDS 数据库实例上存储的数据加密。要了解如何使用 KMS 密钥为您的 Amazon RDS 资源加密,请参阅 Amazon RDS 用户指南中的加密 Amazon RDS 资源

重要

Amazon RDS 仅支持对称 KMS 密钥。不能使用非对称 KMS 密钥来加密 Amazon RDS 数据库中的数据。要获取确定 KMS 密钥是对称还是非对称的帮助,请参阅 识别非对称 KMS 密钥

Amazon RDS 在 Amazon Elastic Block Store (Amazon EBS) 加密上构建,可为数据库卷提供全磁盘加密。有关 Amazon EBS 如何使用 Amazon KMS 加密卷的更多信息,请参阅 Amazon Elastic Block Store (Amazon EBS) 如何使用 Amazon KMS

当您使用 Amazon RDS 创建加密的数据库实例时,Amazon RDS 将代表您创建加密的 EBS 卷来存储数据库。该卷上静态存储的数据、数据库快照、自动化备份和只读副本均使用在您创建数据库实例时指定的 KMS 密钥进行加密。

Amazon RDS 加密上下文

当 Amazon RDS 使用您的 KMS 密钥时,或者当 Amazon EBS 代表 Amazon RDS 使用 KMS 密钥时,服务会指定加密上下文。加密上下文是 Amazon KMS 用于确保数据完整性而使用的额外的身份验证数据 (AAD)。在为加密操作指定加密上下文时,该服务必须为解密操作指定同一加密上下文。否则,解密将失败。加密上下文还将写至您的 Amazon CloudTrail 日志中,以帮助您了解为什么使用给定的 KMS 密钥。您的 CloudTrail 日志可能包含多个描述 KMS 密钥使用情况的条目,但每个日志条目中的加密上下文可以帮助您确定该特定使用的原因。

至少,Amazon RDS 始终将数据库实例的 ID 用于加密上下文,如以下 JSON 格式的示例所示:

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

此加密上下文可以帮助您确定使用您的 KMS 密钥的数据库实例。

当您的 KMS 密钥用于特定的数据库实例和特定的 EBS 卷时,数据库实例 ID 和 EBS 卷 ID 用于加密上下文,如以下 JSON 格式的示例所示:

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}