メインコンテンツまでスキップ

Warehouse Encryption

Premium plan feature

Warehouse Encryption(TDE および CMEK)にはPremium planが必要です。アップグレードについては、Plansを参照してください。

サービスデータに追加の保護層を追加するには*Transparent Data Encryption (TDE)を有効にするか、独自のキーを提供してCustomer Managed Encryption Keys (CMEK)*を実装してください。拡張暗号化はAWSウェアハウスで利用できます。

enable-tde

キー管理オプション

VeloDB Cloudは2つのキー管理モードをサポートしています:

モード動作方法使用場面
VeloDB-managed keyTDEを有効にした後、VeloDB Cloudはデフォルトでクラウドプロバイダーのキーを使用します。追加の設定は不要です。デフォルト。ほとんどのワークロードに適しています。
Customer-managed keyAWS KMSキーを提供します。VeloDB Cloudはそれを使用してデータを暗号化および復号化しますが、保存やエクスポートは決して行いません。顧客によるキー所有権を義務付けるコンプライアンスプログラム(SOC 2、HIPAA、PCI DSS)に必要、またはキーを無効化や削除することでVeloDBのデータアクセスを取り消す機能が必要な場合。

両方のモードで完全な保存時暗号化が提供されます。違いは誰がキーライフサイクルを制御するかです。

Customer-managed KMSキーの使用

TDEを有効にした後、VeloDB-managed keyから独自のAWS KMSキーにいつでもローテーションできます。

tde-settings

  1. KMSキーを作成します。 AWS KMSコンソールで、新しいsymmetric暗号化キーを作成します。Key ARNをメモしてください。ステップ4で必要になります。

  2. Encryption Role IDをコピーします。 VeloDB CloudコンソールでSettingsを開き、Rotate KMSをクリックして、Encryption Role IDをコピーします。

    tde-rotate-key

  3. キーポリシーを更新します。 次のステートメントをKMSキーポリシーに追加します。<Encryption Role ID>を前のステップでコピーした値に置き換えてください。

    {
    "Sid": "Allow VeloDB Access",
    "Effect": "Allow",
    "Principal": {
    "AWS": [ "<Encryption Role ID>" ]
    },
    "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:DescribeKey"
    ],
    "Resource": "*"
    }
  4. キーを適用します。 VeloDB Cloud に戻り、Key ARN をSettingsのTransparent Data Encryptionセクションに貼り付け、Rotateをクリックします。

警告 キーを適用した後、KMSキーを無効化または削除しないでください。VeloDB Cloud はウェアハウスを動作させるためにキーへの継続的なアクセスが必要です。アクセスを失うとウェアハウスが利用できなくなり、そのデータが読み取れなくなります。

キーローテーションと監査

AWS KMS はあなたのキーの使用をすべてAWS CloudTrailにログ出力し、暗号化および復号化操作の完全な監査証跡を提供します。キーマテリアルをローテーションするには、新しいKMSキーを作成し、上記の手順を繰り返します。VeloDB Cloud はダウンタイムなしでデータ暗号化キーを自動的に再暗号化します。

関連ドキュメント

  • Encryption at Rest: VeloDB Cloud がストレージおよびウェアハウス層全体で保存データを保護する方法。
  • Encryption in Transit: クライアントとウェアハウス間を移動するデータのTLS暗号化。
  • Network Security: VPC分離、PrivateLink、およびネットワークアクセス制御。