目前中国区AWS新上线的KMS服务的使用及限制

根据AWS发布的消息,AWS KMS 现已在 AWS 中国区域推出!(ref: https://zhuanlan.zhihu.com/p/68293712 )

然而在中国区域,KMS服务的功能仍在完善之中,我们正在使用的服务 EC2, S3, Redshift 和RDS都是需要进行加密的服务,其中仅有EBS可以使用KMS加密。

目前对于 S3 和Redshift来说,使用 KMS服务端加密的功能还没有上线。

但您可以了解使用KMS在客户端实现加密的方式,通过我们测试,客户端的加密(使用kms)是可以使用的,该方式类似于在本地做加密。不过,您需要通过sdk来使用该功能。

AWS sdk对S3 客户端加密的参考文档:https://docs.aws.amazon.com/zh_cn/general/latest/gr/aws_sdk_cryptography.html(需要注意:python的sdk boto3和cli暂时还不支持客户端加密功能)目前对于 S3 和Redshift来说,使用 KMS服务端加密的功能还没有上线。

对于RDS 而言,以mysql为例,通过我们的测试,在“复制快照”时启用KMS加密并制定CMK,在快照创建完成之后,以该快照还原新的数据库实例。结果证明,新的数据实例的加密状态为“否”,且可以通过数据库密码直接连接到数据库。因此可确定我们讨论的“以加密快照还原成加密的数据库实例”的猜想,目前是不可行的。


对于EBS, KMS是支持其加密的,加密方法可参考 https://cloudacademy.com/blog/how-to-encrypt-an-ebs-volume-the-new-amazon-ebs-encryption/

对于AWS新服务、新功能的动态更新,可以随时关注的官方页面为:https://amazonaws-china.com/cn/new/

你可能感兴趣的:(目前中国区AWS新上线的KMS服务的使用及限制)