Tenemos una RDS en producción que por temas de cualquier índole, queremos convertir en RDS con encriptación “at rest”, es decir, los datos a nivel almacenamiento están encriptados. En un hipotético caso de robo de datos (algo practicamente imposible) los datos no podrían descifrarse sin la pertinente llave KMS.
Pasos
- Creamos un snapshot de la base de datos sin encriptar
- Copiamos el snapshot hacia otro nuevo snapshot, habilitando la encriptación
- Esperamos a que se genere el nuevo snapshot, que estará en estado “creating”
- Una vez completado, restauramos una nueva base de datos a partir del snapshot con la encriptación habilitada.
- Escogemos los parámetros de la nueva rds
- identificador
- tipo de instancia
- etc
- Esperamos a que cambie a estado “Available”
- Revisamos su configuración y deberemos ver entonces en la pestaña “Configuration”,sección “Storage”, el parámetro “Encryption” como “Enabled”.
