O RDS oferece criptografia em repouso, mas isso é incompatível com a replicação entre regiões. A documentação declara:
Because KMS encryption keys are specific to the region that they are created in, you cannot copy an encrypted snapshot from one region to another or replicate encrypted DB instances across regions.
No entanto, agora é possível para fazer o upload de uma chave mestra personalizada do KMS . Se eu gerar minha própria chave mestra e enviá-la para eu-west-1 e eu-central-1, é possível replicar uma instância RDS criptografada entre regiões?
A documentação não diz nada sobre esse cenário. É possível que isso seja tecnicamente possível, mas a API não permite isso.
Fiz essa pergunta nos fóruns da AWS e recebi uma resposta de alguém da Amazon :
As you noted, this is now technically possible but the RDS API does not yet support it. We are working on it but have not announced a release date. Stay tuned.
Esta é uma excelente notícia - em breve não teremos que escolher entre um ou outro.