Realización de un cifrado del lado del servidor
Introducción
La consola RDS proporciona encriptación del lado del servidor con claves gestionadas por Data Encryption Workshop (DEW).
DEW utiliza un módulo de seguridad de hardware (HSM) de terceros para proteger las claves, lo que le permite crear y controlar fácilmente las claves de encriptación. Por razones de seguridad, las claves no se muestran en texto plano fuera de los HSM. Con DEW, todas las operaciones en las claves se controlan y registran, y se pueden proporcionar registros de uso de todas las claves para cumplir con los requisitos de cumplimiento normativo.
Si la encriptación del lado del servidor está habilitado, los datos del disco se cifrarán y almacenarán en el servidor cuando cree una instancia de base de datos o amplíe la capacidad del disco. Al descargar objetos cifrados, los datos cifrados se descifrarán en el servidor y se mostrarán en texto plano.
Cifrado de discos mediante cifrado del lado del servidor
Para la encriptación del lado del servidor, primero debe crear una clave usando DEW o usar la clave predeterminada con la que viene DEW. Al crear una instancia de base de datos, seleccione Enable para Disk Encryption y seleccione o cree una clave. Esta clave es la clave del tenant final y se utilizará para la encriptación del lado del servidor. Para obtener más información, vea Introducción a RDS for SQL Server.
- Necesitará el permiso de administrador de KMS para la región donde se despliega RDS. Este permiso se puede conceder mediante Identity and Access Management (IAM). En la consola de IAM, agregue políticas de permisos a los grupos de usuarios. Para obtener más información, consulte Creación de un grupo de usuario y asignación de permisos.
- Si desea utilizar una clave definida por el usuario para cifrar los objetos que se van a cargar, cree una clave con DEW. Para obtener más información, consulte Creación de un CMK.
- Si habilita la encriptación de disco durante la creación de una instancia, el estado de encriptación de disco y la clave no se pueden cambiar más tarde. La encriptación de disco no cifrará los datos de copia de respaldo almacenados en OBS.
- Si la encriptación de disco está habilitado, mantenga la clave correctamente. Una vez que la clave esté deshabilitada, eliminada o congelada, la base de datos no estará disponible.
- Después de crear una instancia de base de datos RDS, no puede deshabilitar ni eliminar la clave de esa instancia, o la instancia de base de datos quedará inutilizable y no se podrán restaurar los datos.
- Si escala una instancia de base de datos con discos encriptados, el espacio de almacenamiento ampliado también se cifrará con la clave de encriptación original.