AWS51.加密已存在RDS数据库实例

加密已存在 RDS 数据库实例

=== 介绍

• Amazon RDS 可以加密您的 Amazon RDS 数据库实例。


• 为 AWS RDS 资源启用加密选项后，我们能够加密数据库实例、自动备份、只读副本、快照和日志。


• Amazon RDS 加密数据库实例使用 AES-256 加密算法对托管 Amazon RDS 数据库实例的服务器上的数据进行加密。


• 加密选项只能在您启动数据库实例时启用，在启动后无法启用。但是，可以加密未加密快照的副本。

=== 架构图

== 实验步骤

=== 创建 RDS 数据库实例（不启用加密）

• 请确保您位于美国东部（弗吉尼亚北部）us-east-1 区域


• 通过菜单导航到 RDS。


• 单击"数据库"部分中的"创建数据库"按钮。


• 指定数据库详细信息：

• 实例规格
  
  ** 数据库创建方法：标准创建
  
  ** 引擎选项：选择 MySQL
  
  ** 版本 ： 默认
  
  ** 模板 ：选择开发/测试
  
  ** 数据库实例标识符：test-db
  
  ** 主用户名：master
  
  ** 主密码和确认密码：Whizlabs123
  
  ** 注意：这是用于登录数据库的用户名/密码组合。请记下它们。
  
  ** 数据库实例类 ： db.t3.micro
  
  ** 存储类型 ： 通用型 （SSD）
  
  ** 分配的存储：20（默认值）
  
  ** 启用存储空间自动缩放：取消选中
  
  ** 公共访问 ： 选择否

• 转到其他配置选项

• 初始数据库名称：projectdb


• 数据库参数组：默认


• 选项组：默认


• 启用自动备份：取消选中

• 重要说明：取消选中启用加密选项

• 日志导出：本练习不需要日志导出。


• 注意：将其他所有设置保留为默认值

• 单击"创建数据库"


• 导航到"数据库"。


• 在 RDS 控制台上，将显示新数据库实例的详细信息。数据库实例的状态为"正在创建"，直到数据库实例可供使用。


• 当状态更改为可用时，您可以连接到数据库实例。新实例状态变为"可用"之前最多可能需要 20 分钟。

• 单击数据库并导航到"配置"选项卡。您可以注意到加密未启用，正如我们希望的那样

• 如果我们选择数据库并对其进行修改，我们将找不到加密数据库的选项。

=== 从现有数据库实例拍摄快照

• 选择创建的数据库实例，然后单击操作。


• 从选项中单击拍摄快照。

• 为快照命名，test-snapshot-01，然后单击拍摄快照按钮。

• 创建快照需要 3-5 分钟。刷新一段时间后，快照创建状态将可用。

=== 创建快照的副本并对其进行加密

• 在此阶段无法加密快照。


• 我们需要在获取快照副本时对其进行加密。


• 在手动快照下，选择创建的快照，然后单击操作。


• 从选项中单击复制快照。

• 在"设置"下，提供以下详细信息。

• 确保区域与原始数据库实例相同，即美国东部（弗吉尼亚北部）


• 新的数据库快照标识符：输入test-snapshot-encrypted


• 在"加密"下，选中"启用加密"。将AWS KMS 密钥保留为默认值。（重要）


• 单击复制快照按钮。

=== 从加密快照还原数据库实例

• 单击加密的快照，然后单击操作。


• 单击选项中的还原快照。

• 在设置下，输入数据库实例的名称作为test-db-encrypted。


• 使其他设置与原始数据库实例完全相同。


• 在数据库实例类下，选择可突增类（包括 t 类），然后选择db.t3.micro


• 在"加密"下，您可以看到"启用加密"已启用，并且由于快照已加密，因此无法进行更改。

• 将数据库参数组和选项组保留为默认值。


• 单击还原数据库实例按钮。创建数据库大约需要 5-10 分钟。

=== 更改原始数据库实例的名称

• 我们必须确保还原的数据库实例的终端节点应与原始数据库实例相同。


• 为此，我们必须更改数据库实例的名称，因为这些名称是唯一的。


• 选择原始数据库实例，然后单击修改。


• 将数据库实例标识符更改为test-db-unencrypted。

• 将所有内容保留为默认值，然后单击"继续"。


• 验证数据库实例标识符和终端节点的新值。


• 在"修改的计划"下，选择"立即应用"，然后单击修改数据库实例


• 重启数据库实例可能需要一些时间

=== 将还原的数据库实例的名称更改为原始数据库实例名称

• 在还原的数据库上选择，然后单击"修改"。


• 将数据库实例标识符更改为test-db。

• 将所有内容保留为默认值，然后单击"继续"。


• 验证数据库实例标识符和终端节点的新值。


• 在"修改的计划"下，选择"立即应用"，然后单击修改数据库实例。


• 重启数据库实例可能需要一些时间。

• 修改数据库后，单击并打开test-db，即加密的数据库实例。


• 单击数据库并导航到"配置"选项卡。您可以注意到加密已启用。

=== 删除未加密的 RDS 数据库实例和快照

• 由于我们有加密的数据库实例，因此我们将删除未加密的数据库实例和关联的快照。


• 单击屏幕左侧的"数据库"。


• 选择未加密的数据库实例（即 test-db-unencrypted），然后单击操作。


• 单击"删除"选项。


• 取消选中创建最终快照选项。


• 选中确认框。


• 通过输入delete me并单击"删除"来确认删除。

• 单击屏幕左侧的快照。


• 在"手动快照"下，选择未加密的快照（即test-snapshot-01），然后单击"操作"。


• 单击删除快照选项。


• 单击删除按钮进行确认。

• 通过这种方式，您可以加密未加密的 RDS 数据库实例。