关于 KMS 密钥的问题

【问题标题】:Issue regarding KMS Key关于 KMS 密钥的问题
【发布时间】:2021-07-02 14:46:16
【问题描述】:

我正在使用 https://github.com/awslabs/aurora-snapshot-tool 的 aws 创建的工具将极光快照从一个帐户复制到另一个帐户。但是,我只是不明白在创建目标帐户时为 KmsKeySource 和 KmsKeyDestination 输入什么。我检查了网站上提到的 CMK 页面,但仍然无法理解。谁能给个明确的解释?

对于 KmsKeySource,我已在 Source 帐户中输入了我的数据库集群正在使用的 CMK。对吗?

【问题讨论】:

  • 账号是在同一个地区还是不同。

标签: amazon-web-services snapshot amazon-aurora


【解决方案1】:

为了能够在账户之间复制极光快照,您不能在 KMS 中使用默认 AWS 托管密钥进行静态加密,您需要在 KMS 中创建客户托管 CMK,并在您的 Aurora 数据库中使用该 CMK 进行静态加密。这里的 KmsKeySource 表示您用于源数据库的 kms cmk 密钥 id,没错。

仅当您在不同 AWS 区域之间复制快照时才需要 KmsKeyDestination,因为 KMS CMK 是区域资源,如果您的源区域和目标区域不同,则需要提供目标区域 CMK 密钥 ID。在这种情况下,AWS 会处理将加密快照从区域 A 复制到 B,并使用区域 B 的 CMK 对其进行重新加密。

如果源和目标区域相同,则 KmsKeyDestination 是可选的,因为目标数据库可以简单地使用与源相同的 CMK 密钥,在 KmsKeySource 中指定。

【讨论】:

    猜你喜欢
    • 2017-11-21
    • 2019-04-21
    • 1970-01-01
    • 1970-01-01
    • 2019-11-18
    • 2019-03-29
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode