RDS предлагает шифрование в состоянии покоя, но это несовместимо с межрегиональной репликацией. В документации указано:
Поскольку ключи шифрования KMS зависят от региона, в котором они созданы, вы не можете копировать зашифрованный моментальный снимок из одного региона в другой или реплицировать зашифрованные экземпляры БД по регионам.
Тем не мение, теперь можно загрузить собственный мастер-ключ KMS. Если я сгенерирую свой собственный главный ключ и загрузю его как в eu-west-1, так и в eu-central-1, возможно ли реплицировать зашифрованный экземпляр RDS в регионах?
В документации об этом сценарии ничего не говорится. Возможно, теперь это технически возможно, но API не позволяет этого.
Я задал этот вопрос на форумах AWS, и получил ответ от кого-то в Amazon:
Как вы отметили, сейчас это технически возможно, но RDS API еще не поддерживает это. Мы работаем над этим, но не объявили дату выпуска. Быть в курсе.
Это отличная новость - скоро нам не придется выбирать между тем и другим.