Encriptación de una instancia de BD de DDS

Descripción general

Una vez habilitada la encriptación, los datos del disco se cifrarán y almacenarán en el servidor cuando cree una instancia de BD o amplíe la capacidad del disco. Cuando descargue objetos cifrados, los datos cifrados se descifrarán en el servidor y se mostrarán en el texto plano.

Restricciones

• Se debe agregar el derecho de KMS Administrator en la región de RDS con IAM. Para obtener más detalles sobre cómo asignar valores a grupos de usuarios, consulte "¿Cómo gestiono grupos de usuarios y les otorgo permisos?" en la Guía de usuario de Identity and Access Management.
• Para utilizar una clave definida por el usuario para encriptar los objetos que se van a cargar, cree una clave con DEW. Para obtener más detalles, consulte Creación de una CMK.

• Una vez habilitada la función de encriptación del disco, no puede deshabilitarla ni cambiar la clave después de crear una instancia de BD. Los datos de respaldo almacenados en OBS no se cifrarán.
• Después de crear una instancia de BD de Document Database Service (DDS), no deshabilite ni elimine la clave que se está utilizando. De lo contrario, DDS se activará y no se podrán restaurar los datos.
• Si escala verticalmente una instancia de base de datos con discos encriptados, el espacio de almacenamiento ampliado se cifrará con la clave de encriptación original.

Uso de KMS para encriptar una instancia de BD (en la consola)

Al comprar una instancia de BD en DDS, puede configurar Disk Encryption en Enable y usar la clave proporcionada por KMS para cifrar el disco de la instancia de BD. Para obtener más información, consulte Compra de una instancia de clúster.

Figura 1 Encriptación de datos en DDS

Uso de KMS para encriptar una instancia de BD (Con una API)

También puede invocar a la API requerida de DDS para comprar instancias de base de datos cifradas. Para obtener más información, consulta la Referencia de las API de Document Database Service.