SAA高頻題目知識點總結 1 加密

一、加密

（一）s3：

1.對儲存在s3中的資料進行加密：

(1)伺服器端加密：sse-s3、sse-c、sse-kms

sse-s3：是一種整合式解決方案。由amazon來管理金鑰。amazon 通過其使用多個安全層處理密鑰管理和金鑰保護問題。

sse-c：客戶自身來管理金鑰——用來對s3中的物件進行加密和解密操作

sse-kms：使用 aws kms 管理客戶的金鑰。利用 aws kms，會設定幾個單獨的主金鑰使用許可權，從而提供額外的控制層並防止 amazon s3 中儲存的物件遭到未授權訪問。aws kms 提供審計跟蹤，因此您能看到誰使用了您的金鑰在何時訪問了哪些物件，還能檢視使用者在沒有解密資料的許可權下所作的訪問資料失敗嘗試次數。

(2)客戶端加密：aws s3加密客戶端，客戶保持對金鑰的控制並使用客戶選擇的加密庫完成物件客戶端側的加密和解密。

（二）rds：

1.加密例項：rds加密例項使用行業標準aes-256加密演算法來加密承載rds例項的伺服器上的資料。然後，rds會用對效能的影響最小的方式，處理對此資料的訪問和解密的身份驗證，無需修改資料庫客戶端應用程式。

2.例項加密後：日誌已加密、快照已加密、自動備份已加密、唯讀副本已加密。

3.靜態資料加密(data at rest)：可在rds例項上啟用來加密底層儲存，並且只能在例項建立期間啟用，啟用後，不能更改加密金鑰，金鑰由kms管理，如金鑰丟失，只能從備份中恢復資料庫。

4.金鑰只在單個區域(region)中可用，跨區域的副本和快照副本都不起作用——無法將加密快照複製到其他區域(region)。

5.對未加密的資料庫例項或集群進行加密：建立資料庫快照，再建立此快照的副本並為該副本指定kms加密金鑰，之後從該加密的快照副本中還原加密的資料庫例項或集群——且加密的快照只能恢復成加密的資料庫。

6.資料庫快照：使用kms加密的資料庫快照可以被複製，複製乙個加密的快照，副本也是加密的；複製時，可以使用與原始快照相同的kms金鑰，也可以使用其他的kms金鑰；如果從未加密的資料庫集群快照還原時指定了kms加密金鑰，則使用指定的kms加密金鑰對還原的資料庫集群進行加密；複製從另乙個aws賬戶共享的加密快照需要訪問用於加密資料庫快照的kms加密金鑰。

7.透明資料(transparent data)加密(tde)：oracle和sql server支援，oracle需要kms外部的金鑰儲存，並與cloudhsm整合；sql server需要金鑰，但由rds管理，在將資料寫入底層儲存裝置之前自動加密資料，並在從儲存裝置讀取資料時進行解密。

（三）ssl to encrypt a connection to a db instance

1.使用ssl加密應用程式與資料庫例項之間傳輸的資料的連線

2.當rds配置例項時，amazon rds會建立ssl證書並在資料庫例項上安裝證書。

3.ssl證書由證書頒發機構簽名。 ssl證書包括資料庫例項端點作為ssl證書的公用名（cn），以防止欺騙攻擊

4.雖然ssl提供了安全性優勢，但請注意，ssl加密是一項計算密集型操作，會增加資料庫連線的延遲。

（四）redshift：

1.支援vpc，ssl，aes-256加密和硬體安全模組（hsm），以保護傳輸和靜態的資料。

2.對於傳輸的資料：啟用ssl，在客戶端應用程式與資料倉儲集群之間

3.對於靜態的資料：使用硬體加速型 aes-256在每個資料塊寫入硬碟時進行加密。發生在 i/o 子系統中，對寫入硬碟的一切資料進行加密，資料庫按原樣進行備份，所以備份也加了密。預設情況下，amazon redshift 會負責金鑰管理，但您也可以選擇使用您自己的hsm管理金鑰，或通過kms管理金鑰。

部分內容引用自：

SAA高頻題目知識點總結 1 加密

陣列知識點和題目總結

常見知識點總結 1

c 知識點總結（1）

SAA高頻題目知識點總結 1 加密

陣列知識點和題目總結

常見知識點總結 1

c 知識點總結（1）

相關推薦