Chiffrement des ressources Amazon Aurora - Amazon Aurora
Présentation du chiffrement des ressources Amazon AuroraChiffrement d’un cluster de bases de données Amazon AuroraDétermination si le chiffrement est activé pour un cluster de bases de donnéesDisponibilité du chiffrement Amazon AuroraChiffrement en transitLimitations des clusters de bases de données chiffrées Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des ressources Amazon Aurora

Amazon Aurora peut chiffrer vos Amazon Aurora clusters de bases de données. Les données chiffrées au repos incluent le stockage sous-jacent pour les clusters de bases de données, les sauvegardes automatiques, les réplicas en lecture et les instantanés.

Les clusters de bases de données chiffrée Amazon Aurora utilisent l’algorithme de chiffrement AES-256 standard pour chiffrer vos données sur le serveur qui héberge vos clusters de bases de données Amazon Aurora. Une fois que vos données ont été chiffrées, Amazon Aurora traite l’authentification de l’accès et le déchiffrement de vos données de façon transparente, avec un impact minimal sur les performances. Vous n’avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.

Note

Pour les clusters de bases de données chiffrés et non chiffrés, les données en transit entre la source et le réplica en lecture sont chiffrées, même en cas de réplication entre régions AWS.

Présentation du chiffrement des ressources Amazon Aurora

Les clusters de base de données chiffrée Amazon Aurora fournissent une couche supplémentaire de protection des données en sécurisant vos données contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le chiffrement Amazon Aurora pour renforcer la protection des données de vos applications déployées dans le cloud et pour satisfaire aux exigences de conformité pour le chiffrement au repos. Pour un cluster de bases de données chiffrée Amazon Aurora, les instances de bases de données, journaux, sauvegardes et instantanés sont tous chiffrés. Pour plus d’informations sur la disponibilité et les limites du chiffrement, consultez Disponibilité du chiffrement Amazon Aurora et Limitations des clusters de bases de données chiffrées Amazon Aurora.

Amazon Aurora utilise une clé AWS Key Management Service pour chiffrer ces ressources. AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion de clés à l’échelle du cloud. Vous pouvez utiliser une Clé gérée par AWS ou créer des clés gérées par le client.

Lorsque vous créez un cluster de bases de données chiffrées, vous pouvez choisir une clé gérée par le client ou la Clé gérée par AWS pour Amazon Aurora pour chiffrer votre cluster de bases de données. Si vous ne spécifiez pas l’identifiant de clé d’une clé gérée par le client, Amazon Aurora utilise la Clé gérée par AWS pour votre nouveau cluster de bases de données. Amazon Aurora crée une Clé gérée par AWS pour Amazon Aurora pour votre compte AWS. Votre compte AWS dispose d’une Clé gérée par AWS pour Amazon Aurora différente pour chaque région AWS.

Pour gérer les clés gérées par le client qui sont utilisées pour le chiffrement et le déchiffrement de vos ressources Amazon Aurora, vous utilisez AWS Key Management Service (AWS KMS).

En utilisant AWS KMS, vous pouvez créer des clés gérées par le client de chiffrement et définir les stratégies pour contrôler l’utilisation de ces clés gérées par le client. AWS KMS prend en charge CloudTrail afin de vous permettre d’auditer l’utilisation de la clé KMS et de vérifier que les clés gérées par le client sont utilisées de manière appropriée. Vous pouvez utiliser vos clés gérées par le client avec Amazon Aurora et les services AWS pris en charge tels que Amazon S3, Amazon EBS et Amazon Redshift. Pour obtenir la liste des services intégrés à AWS KMS, consultez Intégration de services AWS. Quelques considérations relatives à l’utilisation des clés KMS :

  • Une fois que vous avez créé une instance de base de données chiffrée, vous ne pouvez pas modifier la clé KMS utilisée par cette instance de base de données. Vous devez donc prendre soin de déterminer vos besoins en termes de clés KMS avant de créer votre instance de base de données chiffrée.

    Si vous devez modifier la clé de chiffrement de votre cluster de bases de données, créez un instantané manuel de votre cluster et activez le chiffrement lors de la copie de l’instantané. Pour plus d’informations, consultez cet article re:Post Knowledge.

  • Si vous copiez un instantané chiffré, vous pouvez utiliser une clé KMS différente pour chiffrer l’instantané cible que celle utilisée pour chiffrer l’instantané source.

  • Vous ne pouvez pas partager un instantané chiffré à l’aide de la Clé gérée par AWS du compte AWS qui a partagé l’instantané.

  • Chaque instance de base de données du cluster de bases de données est chiffrée à l’aide de la même clé KMS que le cluster de bases de données.

  • Vous pouvez également chiffrer un réplica en lecture d’un cluster Amazon Aurora chiffré.

Important

Dans certains cas, Amazon Aurora peut perdre l’accès à la clé KMS pour un cluster de bases de données lorsque vous désactivez la clé KMS. Dans ce cas, le cluster de bases de données chiffré entre dans l’état inaccessible-encryption-credentials-recoverable. Le cluster de bases de données reste dans cet état pendant sept jours, pendant lesquels l’instance est arrêtée. Les appels d’API effectués vers le cluster de bases de données pendant cette période risquent d’échouer. Pour restaurer le cluster de bases de données, activez la clé KMS, puis redémarrez le cluster. Activez la clé KMS depuis la AWS Management Console, l’AWS CLI, ou l’API RDS. Redémarrez le cluster de bases de données à l’aide de la commande AWS CLI start-db-cluster ou la AWS Management Console.

L’état inaccessible-encryption-credentials-recoverable s’applique uniquement aux clusters de bases de données qui peuvent être interrompus. Cet état récupérable ne s’applique pas aux instances qui ne peuvent pas s’arrêter, telles que les clusters contenant des réplicas en lecture inter-régions. Pour plus d’informations, consultez Limites liées à l’arrêt et au démarrage des clusters de bases de données Aurora.

Si le cluster de bases de données n’est pas récupéré dans un délai de sept jours, il passe à l’état inaccessible-encryption-credentials terminal. Dans cet état, le cluster de bases de données n’est plus utilisable et vous ne pouvez le restaurer qu’à partir d’une sauvegarde. Nous vous recommandons vivement de toujours activer les sauvegardes pour les clusters de bases de données chiffrées afin de vous prémunir contre la perte de données chiffrées dans vos bases de données.

Lors de la création d’un cluster de bases de données, Aurora vérifie si le principal appelant dispose a accès à la clé KMS, puis génère une autorisation à partir de cette clé KMS, qu’il utilisera pendant toute la durée de vie du cluster de bases de données. La révocation de l’accès du principal appelant à la clé KMS n’affecte pas la base de données en cours d’exécution. Lorsque vous utilisez des clés KMS dans des scénarios entre comptes, tels que la copie d’un instantané sur un autre compte, la clé KMS doit être partagée avec l’autre compte. Si vous créez un cluster de bases de données à partir de l’instantané sans spécifier de clé KMS différente, le nouveau cluster utilise la clé KMS du compte source. Le fait de révoquer l’accès à la clé après la création du cluster de bases de données n’a aucun impact sur ce cluster. Toutefois, la désactivation de la clé affecte tous les clusters de bases de données chiffrés avec cette clé. Afin d’éviter cette situation, indiquez une clé différente au moment de la copie de l’instantané.

Pour plus d’informations sur les clés KMS, consultez AWS KMS keys dans le Guide du développeur AWS Key Management Service et Gestion AWS KMS key.

Chiffrement d’un cluster de bases de données Amazon Aurora

Pour chiffrer un nouveau cluster de base de données, sélectionnez Enable encryption (Activer le chiffrement) dans la console. Pour plus d’informations sur la création d’un cluster de bases de données, consultez Création d’un cluster de bases de données Amazon Aurora.

Si vous utilisez la commande d’AWS CLI create-db-cluster pour créer un cluster de bases de données chiffrée, définissez le paramètre --storage-encrypted. Si vous utilisez l’opération d’API CreateDBCluster, affectez au paramètre StorageEncrypted la valeur true.

Une fois que vous avez créé un cluster de bases de données chiffrées, vous ne pouvez pas modifier la clé KMS pour ce cluster de bases de données. Vous devez donc prendre soin de déterminer vos besoins en termes de clés KMS avant de créer votre cluster de base de données chiffrées.

Si vous utilisez la commande AWS CLI create-db-cluster pour créer un cluster de bases de données chiffré avec une clé gérée par le client, définissez le paramètre --kms-key-id sur n’importe quel identifiant de clé pour la clé KMS. Si vous utilisez l’opération Amazon RDS de l’API CreateDBInstance, définissez le paramètre KmsKeyId sur n’importe quel identifiant de clé pour la clé KMS. Pour utiliser une clé gérée par le client dans un autre compte AWS, spécifiez l’ARN de clé ou ARN d’alias.

Détermination si le chiffrement est activé pour un cluster de bases de données

Vous pouvez utiliser la AWS Management Console, l’AWS CLI ou l’API RDS pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données.

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon RDS à l’adresse https://console.aws.amazon.com/rds/.

  2. Dans la panneau de navigation, choisissez Bases de données.

  3. Sélectionnez le nom du cluster de base de données que vous souhaitez vérifier pour en voir les détails.

  4. Cliquez sur l’onglet Configuration et cochez la case Encryption (Chiffrement).

    Il indique Enabled (Activé) ou Not enabled (Non activé).

    Vérification du chiffrement au repos pour un cluster de base de données

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données à l’aide de la AWS CLI, appelez la commande describe-db-clusters avec l’option suivante :

  • --db-cluster-identifier : nom du cluster de bases de données.

L’exemple suivant utilise une requête pour renvoyer TRUE ou FALSE concernant le chiffrement au repos pour le cluster de bases de données mydb.

Exemple 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données à l’aide de l’API Amazon RDS, appelez l’opération DescribeDBClusters avec le paramètre suivant :

  • DBClusterIdentifier : nom du cluster de bases de données.

Disponibilité du chiffrement Amazon Aurora

Le chiffrement Amazon Aurora est actuellement disponible pour tous les moteurs de base de données et types de stockage.

Note

Le chiffrement Amazon Aurora n’est pas disponible pour la classe d’instance de base de données db.t2.micro.

Chiffrement en transit

Chiffrement au niveau de la couche physique

Toutes les données circulant à travers les Régions AWS sur le réseau global AWS sont automatiquement chiffrées au niveau de la couche physique avant qu’elles ne quittent les installations sécurisées AWS. Tout le trafic entre zones de disponibilité est chiffré. Des couches supplémentaires de chiffrement, y compris celles présentées dans cette section, peuvent fournir des protections supplémentaires.

Chiffrement assuré par un appairage Amazon VPC et un appairage entre régions de la passerelle de transit

Tout le trafic entre régions qui utilise un appairage VPC Amazon et Transit Gateway est automatiquement chiffré en bloc quand il quitte une région. Une couche supplémentaire de chiffrement est automatiquement fournie au niveau de la couche physique pour tout le trafic avant que celui-ci quitte les installations sécurisées AWS.

Chiffrement entre instances

AWS assure une connectivité sécurisée et privée entre les instances de base de données de tous types. En outre, certains types d’instances utilisent les capacités de déchargement du matériel du système Nitro sous-jacent pour chiffrer automatiquement le trafic en transit entre instances. Ce chiffrement utilise des algorithmes de chiffrement authentifié avec données associées (AEAD), avec un chiffrement 256 bits. Il n’y a aucun impact sur les performances du réseau. Pour prendre en charge ce chiffrement supplémentaire du trafic en transit entre les instances, les exigences suivantes doivent être satisfaites :

  • Les instances utilisent les types d’instance suivants :

    • Usage général : M6i, M6id, M6in, M6idn, M7g

    • Optimisé pour la mémoire : R6i, R6id, R6in, R6idn, R7g, X2idn, X2iedn, X2iezn

  • Les instances se trouvent dans la même Région AWS.

  • Les instances se trouvent dans le même VPC ou dans des VPC appairés, et le trafic ne passe pas par un service ou un périphérique de réseau virtuel, tel qu’un équilibreur de charge ou une passerelle de transit.

Limitations des clusters de bases de données chiffrées Amazon Aurora

Les limitations suivantes existent pour les clusters de bases de données chiffrés Amazon Aurora :

  • Vous ne pouvez pas désactiver le chiffrement d’un cluster de bases de données chiffré.

  • Vous ne pouvez pas créer d’instantané chiffré de cluster de bases de données non chiffrées.

  • Un instantané de cluster de bases de données chiffrées doit être chiffré à l’aide de la même clé KMS que le cluster de bases de données.

  • Vous ne pouvez pas convertir un cluster de base de données non chiffrée vers un cluster chiffré. Toutefois, vous pouvez restaurer un instantané non chiffré dans un cluster de bases de données Aurora chiffré. Pour ce faire, spécifiez une clé KMS lorsque vous procédez à la restauration à partir de l’instantané non chiffré.

  • Vous ne pouvez pas créer de réplica Aurora chiffré à partir d’un cluster de bases de données Aurora non chiffré. Vous ne pouvez pas créer de réplica Aurora non chiffré à partir d’un cluster de bases de données Aurora chiffré.

  • Pour copier un instantané chiffré d’une région AWS à une autre, vous devez spécifier la clé KMS de la région AWS de destination. En effet, les clés KMS sont spécifiques à la régionAWS dans laquelle elles sont créées.

    L’instantané source reste chiffré pendant tout le processus de copie. Amazon Aurora utilise un chiffrement d’enveloppe pour protéger les données pendant le processus de copie. Pour plus d’informations sur le chiffrement d’enveloppe, consultez Chiffrement d’enveloppe dans le Guide du développeurAWS Key Management Service.

  • Vous ne pouvez pas déchiffrer un d’instances de base de données chiffrées. Vous pouvez cependant exporter des données à partir d’un d’instances de base de données et importer les données dans un d’instances de base de données non chiffrées.