Amazon-Web-Services

如何在不失去數據的情況下更改 RDS KMS 密鑰?

  • July 26, 2018

我們有一個託管在 AWS RDS 上的 PostgreSQL 數據庫。當它使用 cloudformation 創建時,我將其設置為加密,但沒有設置加密密鑰。因此,它被設置為使用預設加密密鑰。

我被告知有一個公司標準,所有 RDS 實例都應該有自己的密鑰。

我已經使用 cloudformation 創建了新密鑰並將其與 RDS 實例相關聯,但是當我部署此模板時,它想要刪除並重新創建數據庫。

我不太熟悉這一切是如何工作的,而且我正在執行一個不會導致我們失去數據的程序。如果需要,一點停機時間不會傷害我們。

使用 RDS,這很容易。您將有一些停機時間,具體取決於數據量。小實例留出一小時,大實例留出一天。好的部分是,在您創建快照後,您可以獨立測試而不會影響您的實例。

一切都在 AWS RDS 控制台中執行。

  1. 創建您的 RDS 實例的快照。

  2. 選擇新的主密鑰複製快照。

  3. 恢復實例或從快照創建新實例。

注意:對於像這樣修改數據的項目,我更喜歡創建一個新的 RDS 實例。驗證一切,然後關閉舊實例。

引用自:https://serverfault.com/questions/923632