Criptografia em repouso: como funciona no Amazon QLDB - Amazon Quantum Ledger Database (Amazon QLDB)
Chave pertencente à AWSChave gerenciada pelo clienteComo o QLDB usa subsídiosRestaurar concessõesConsiderações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso: como funciona no Amazon QLDB

A criptografia do QLDB em repouso criptografa seus dados usando Advanced Encryption Standard (AES-256) de 256 bits. Isso ajuda a proteger seus dados contra o acesso não autorizado ao armazenamento subjacente. Por padrão, todos os dados armazenados nos ledgers do QLDB são criptografados em repouso. A criptografia do lado do servidor é transparente, o que significa que não são necessárias alterações nos aplicativos.

A criptografia em repouso integra-se com AWS Key Management Service (AWS KMS) para gerenciamento da chave de criptografia usada para criptografar seus ledgers QLDB. Ao criar um novo ledger ou atualizar um ledger existente, você pode escolher um dos seguintes tipos de chaves AWS KMS :

  • Chave pertencente à AWS: o tipo de criptografia padrão A chave pertence ao QLDB (sem custo adicional).

  • Chave gerenciada pelo cliente: a chave é armazenada na sua Conta da AWS e é você quem cria, detém e gerencia. Você tem controle total sobre a chave (AWS KMS cobranças aplicáveis).

Chave pertencente à AWS

Chaves pertencentes à AWS não estão armazenados no seu Conta da AWS. Elas fazem parte de uma coleção de chaves do KMS que a AWS detém e gerencia para serem usadas em várias Contas da AWS contas da. Serviços da AWS pode ser usado Chaves pertencentes à AWS para proteger seus dados.

Você não precisa criar ou gerenciar Chaves pertencentes à AWS. No entanto, não é possível ver ou rastrear Chaves pertencentes à AWS, ou auditar seu uso. Não é cobrada taxa mensal nem taxa de uso para usar Chaves pertencentes à AWS, e elas não são contabilizadas com base nas AWS KMS cotas da sua conta.

Para obter mais informações, consulte Chaves pertencentes à AWS no Guia do desenvolvedor do AWS Key Management Service .

Chave gerenciada pelo cliente

Chaves gerenciadas pelo cliente são chaves do KMS em sua Conta da AWS que você cria, detém e gerencia. Você tem controle total sobre essas chaves KMS. O QLDB só oferece suporte a chaves de criptografia simétricas KMS.

Use uma chave gerenciada pelo cliente para obter os seguintes recursos:

  • Configurar e manter políticas de chaves, políticas do IAM e concessões para controlar o acesso à chave.

  • Habilitar e desabilitar a chave

  • Material criptográfico rotativo para a chave

  • Criação de tags-chave e aliases

  • Agendar a exclusão da chave

  • Importar seu próprio material de chave ou usar um armazenamento de chaves personalizado de sua propriedade e que você gerencia.

  • Você pode usar o AWS CloudTrail e o Amazon CloudWatch Logs para rastrear as solicitações que o QLDB envia AWS KMS para o em seu nome.

Para obter mais informações, consulte Chaves mestras do cliente (CMKs) no AWS Key Management Service Guia do desenvolvedor.

As chaves gerenciadas pelo cliente geram uma cobrança para cada chamada de API, e as AWS KMS cotas são aplicáveis a essas chaves do KMS. Para obter mais informações, consulte Cotas de solicitação ou de recursos AWS KMS.

Quando você especifica uma chave gerenciada pelo cliente como a chave do KMS para um ledger, todos os dados do ledger no armazenamento do diário e no armazenamento indexado são protegidos pela mesma chave gerenciada pelo cliente.

Chaves gerenciadas pelo cliente inacessíveis

Se você desativar sua chave gerenciada pelo cliente, programar a chave para exclusão ou revogar as concessões da chave, o status da criptografia contábil será KMS_KEY_INACCESSIBLE. Nesse estado, o ledger está comprometido e não aceita nenhuma solicitação de leitura ou gravação. Uma chave inacessível impede que todos os usuários e o serviço QLDB criptografem ou descriptografem dados e realizem operações de leitura e gravação no ledger. O QLDB deve ter acesso à sua chave de criptografia KMS para garantir que você possa continuar acessando seu ledger e evitar a perda de dados.

Importante

Um ledger danificado retorna automaticamente ao estado ativo depois que você restaura as concessões na chave ou depois de reativar a chave que foi desativada.

No entanto, a exclusão de uma chave gerenciada pelo cliente é irreversível. Depois que uma chave é excluída, não é mais possível acessar os ledgers que estão protegidos com ela, e os dados ficam irrecuperáveis permanentemente.

Para verificar o status de criptografia de um ledger, use AWS Management Console ou a operação da DescribeLedgerAPI.

Como o Amazon QLDB usa subsídios em AWS KMS

O QLDB exige concessões para usar sua chave gerenciada pelo cliente. Quando você cria um ledger protegido com uma chave gerenciada pelo cliente, o QLDB cria concessões em seu nome enviando solicitações para. CreateGrant AWS KMS As concessões no AWS KMS são usadas para dar ao QLDB acesso a uma chave do KMS em um cliente. Conta da AWS Para obter mais informações, consulte Uso de concessões no Guia do desenvolvedor do AWS Key Management Service .

O QLDB exige concessões para usar sua chave gerenciada pelo cliente para as seguintes AWS KMS operações internas:

  • DescribeKey— Verifique se a chave KMS de criptografia simétrica especificada é válida.

  • GenerateDataKey— gere uma chave de dados simétrica exclusiva que o QLDB usa para criptografar dados em repouso em seu ledger.

  • Descriptografar: descriptografa dados que foram criptografados com a chave gerenciada pelo cliente.

  • Criptografar: criptografe texto simples em texto cifrado usando sua chave gerenciada pelo cliente.

É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente quando você quiser. Se você fizer isso, a chave ficará inacessível e o QLDB perderá o acesso a qualquer um dos dados contábeis protegidos pela chave gerenciada pelo cliente. Nesse estado, o ledger está comprometido e não aceita nenhuma solicitação de leitura ou gravação até que você restaure as concessões na chave.

Restaurar concessões em AWS KMS

Para restaurar concessões em uma chave gerenciada pelo cliente e recuperar o acesso a um ledger no QLDB, você pode atualizar o ledger e especificar a mesma chave KMS. Para instruções, consulte Como atualizar o AWS KMS key de um ledger existente.

Considerações sobre criptografia em repouso

Considere o seguinte ao usar criptografia em repouso em QLDB.

  • A criptografia do lado do servidor em repouso está habilitada em todos os dados do ledger do QLDB e não pode ser desabilitada. Não é possível criptografar apenas um subconjunto de itens em um ledger.

  • A criptografia em repouso só criptografa dados enquanto eles estão estáticos (em repouso) em uma mídia de armazenamento persistente. Se a segurança dos dados for motivo de preocupação para dados em trânsito ou dados em uso, talvez seja necessário tomar outras medidas, como:

    • Dados em trânsito: todos os dados no QLDB são criptografados em trânsito. Por padrão, as comunicações de e para o QLDB usam o protocolo HTTPS, que protege o tráfego de rede usando a criptografia Secure Sockets Layer (SSL)/Transport Layer Security (TLS).

    • Dados em uso: proteja seus dados antes de enviá-los ao QLDB, usando a criptografia do lado do cliente.

Para saber como implementar chaves gerenciadas pelo cliente para ledgers, vá para Usar chaves gerenciadas pelo cliente no Amazon QLDB.