Realización de un cifrado del lado del servidor
Introducción
La consola RDS proporciona encriptación del lado del servidor con claves gestionadas por Data Encryption Workshop (DEW).
DEW utiliza un módulo de seguridad de hardware (HSM) de terceros para proteger las claves, lo que le permite crear y controlar fácilmente las claves de encriptación. Por razones de seguridad, las claves no se muestran en texto plano fuera de los HSM. Con DEW, todas las operaciones en las claves se controlan y registran, y se pueden proporcionar registros de uso de todas las claves para cumplir con los requisitos de cumplimiento normativo.
Si la encriptación del lado del servidor está habilitado, los datos del disco se cifrarán y almacenarán en el servidor cuando cree una instancia de base de datos o amplíe la capacidad del disco. Al descargar objetos cifrados, los datos cifrados se descifrarán en el servidor y se mostrarán en texto plano.
Cifrado de discos mediante cifrado del lado del servidor
Para la encriptación del lado del servidor, primero debe crear una clave usando DEW o usar la clave predeterminada con la que viene DEW. Al crear una instancia de base de datos, seleccione Enable para la encriptación de disco y seleccione o cree una clave. Esta clave es la clave del inquilino final y se utilizará para la encriptación del lado del servidor. Para obtener más información, consulte Comprar una instancia de base de datos.
- Necesitará el permiso de administrador de KMS para la región donde se despliega RDS. Este permiso se puede conceder mediante Identity and Access Management (IAM). En la consola de IAM, agregue políticas de permisos a los grupos de usuarios. Para obtener más información, consulte Creación de un grupo de usuario y asignación de permisos.
- If you want to use a user-defined key to encrypt objects to be uploaded, create a key using DEW. RDS solo admite claves simétricas. Para obtener más información, consulte Creación de un CMK.
- Si habilita la encriptación de disco durante la creación de una instancia, el estado de encriptación de disco y la clave no se pueden cambiar más tarde. La encriptación de disco no cifrará los datos de copia de respaldo almacenados en OBS. Para habilitar la encriptación de datos de copia de respaldo, comuníquese con el servicio al cliente.
- Si la encriptación de disco o la encriptación de datos de copia de respaldo están habilitados, mantenga la clave correctamente. Una vez que la clave está deshabilitada, eliminada o congelada, la base de datos no estará disponible y los datos no se restaurarán.
- Si la encriptación de disco está habilitado pero la encriptación de datos de copia de respaldo no está habilitado, puede restaurar datos a una nueva instancia desde copias de respaldo.
- Si tanto la encriptación de disco como la encriptación de datos de copia de respaldo están habilitados, los datos no se pueden restaurar.
- Si escala una instancia de base de datos con discos encriptados, el espacio de almacenamiento ampliado también se cifrará con la clave de encriptación original.