如何在不失去數據的情況下更改 RDS KMS 密鑰？

我們有一個託管在 AWS RDS 上的 PostgreSQL 數據庫。當它使用 cloudformation 創建時，我將其設置為加密，但沒有設置加密密鑰。因此，它被設置為使用預設加密密鑰。

我被告知有一個公司標準，所有 RDS 實例都應該有自己的密鑰。

我已經使用 cloudformation 創建了新密鑰並將其與 RDS 實例相關聯，但是當我部署此模板時，它想要刪除並重新創建數據庫。

我不太熟悉這一切是如何工作的，而且我正在執行一個不會導致我們失去數據的程序。如果需要，一點停機時間不會傷害我們。

使用 RDS，這很容易。您將有一些停機時間，具體取決於數據量。小實例留出一小時，大實例留出一天。好的部分是，在您創建快照後，您可以獨立測試而不會影響您的實例。

一切都在 AWS RDS 控制台中執行。

1. 創建您的 RDS 實例的快照。

2. 選擇新的主密鑰複製快照。

3. 恢復實例或從快照創建新實例。

注意：對於像這樣修改數據的項目，我更喜歡創建一個新的 RDS 實例。驗證一切，然後關閉舊實例。

引用自：https://serverfault.com/questions/923632