AWS KMS key management - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS key management

Amazon RDS s'intègre automatiquement à AWS Key Management Service (AWS KMS) pour la gestion des clés. Amazon RDS Amazon utilise le chiffrement des enveloppes. Pour plus d'informations sur le chiffrement des enveloppes, voir Chiffrement des enveloppes dans le AWS Key Management Service Guide du développeur.

Vous pouvez utiliser deux types de AWS KMS clés pour chiffrer vos d'instances de base de données.

  • Si vous souhaitez contrôler totalement une KMS clé, vous devez créer une clé gérée par le client. Pour plus d'informations sur les clés gérées par le client, voir Clés gérées par le client dans le AWS Key Management Service Guide du développeur.

    Vous ne pouvez pas partager un instantané chiffré à l'aide du Clé gérée par AWS du AWS compte qui a partagé l'instantané.

  • Clés gérées par AWSsont KMS des clés de votre compte créées, gérées et utilisées en votre nom par un AWS service intégré à AWS KMS. Par défaut, le RDS Clé gérée par AWS (aws/rds) est utilisé pour le chiffrement. Vous ne pouvez pas gérer, faire pivoter ou supprimer le RDS Clé gérée par AWS. Pour plus d'informations sur Clés gérées par AWS, voir Clés gérées par AWS dans le .AWS Key Management Service Guide du développeur.

Pour gérer les KMS clés utilisées pour les d'instances de base de données chiffrées RDSAmazon , utilisez le AWS Key Management Service (AWS KMS) dans le AWS KMS console, la AWS CLI, ou le AWS KMS API. Pour consulter les journaux d'audit de chaque action entreprise avec un AWS clé gérée ou gérée par le client, utilisation AWS CloudTrail. Pour plus d'informations sur la rotation des touches, voir Rotation AWS KMS clés.

Autoriser l'utilisation d'une clé gérée par le client

Lorsqu'RDS utilise une clé gérée par le client dans le cadre d'opérations cryptographiques, elle agit pour le compte de l'utilisateur qui crée ou modifie la ressource RDS.

Pour créer une ressource RDS à l'aide d'une clé gérée par le client, un utilisateur doit être autorisé à effectuer les opérations suivantes sur la clé gérée par le client :

  • kms:CreateGrant

  • kms:DescribeKey

Vous pouvez spécifier ces autorisations requises dans une politique clé, ou dans une IAM stratégie si la politique clé le permet.

Astuce

Pour suivre le principe du moindre privilège, n’autorisez pas l’accès complet à kms:CreateGrant. Utilisez plutôt la clé de ViaService condition kms : pour permettre à l'utilisateur de créer des autorisations sur la KMS clé uniquement lorsque l'autorisation est créée en son nom par un AWS service.

Vous pouvez rendre la IAM politique plus stricte de différentes manières. Par exemple, si vous souhaitez autoriser l'utilisation de la clé gérée par le client uniquement pour les demandes provenant d'RDS, utilisez la clé de ViaService condition kms : avec la rds.<region>.amazonaws.com valeur. Vous pouvez également utiliser les clés ou les valeurs du contexte Contexte RDS de chiffrement Amazon comme condition d'utilisation de la clé gérée par le client pour le chiffrement.

Pour plus d'informations, voir Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé dans le AWS Key Management Service Guide du développeur et politiques clés dans AWS KMS.

Contexte RDS de chiffrement Amazon

Lorsqu'RDS utilise votre KMS clé, ou lorsqu'Amazon EBS utilise la KMS clé pour le compte d'RDS, le service spécifie un contexte de chiffrement. Le contexte de chiffrement est constitué de données authentifiées supplémentaires (AAD) qui AWS KMS utilisés pour garantir l'intégrité des données. Autrement dit, quand un contexte de chiffrement est spécifié pour une opération de chiffrement, le service doit spécifier le même contexte de chiffrement pour l'opération de déchiffrement. Dans le cas contraire, le déchiffrement échoue. Le contexte de chiffrement est également écrit dans votre AWS CloudTraildes journaux pour vous aider à comprendre pourquoi une KMS clé donnée a été utilisée. Vos CloudTrail journaux peuvent contenir de nombreuses entrées décrivant l'utilisation d'une KMS clé, mais le contexte de chiffrement de chaque entrée de journal peut vous aider à déterminer la raison de cette utilisation particulière.

Au minimum, Amazon RDS utilise toujours l'ID de l'instance de base de données pour le contexte de chiffrement, comme dans l'exemple JSON formaté suivant :

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Ce contexte de chiffrement peut vous aider à identifier l'instance de base de données pour laquelle votre KMS clé a été utilisée.

Lorsque votre KMS clé est utilisée pour une instance de base de données et un EBS volume Amazon spécifiques, l'ID d'instance de base de données et l'ID de EBS volume Amazon sont utilisés pour le contexte de chiffrement, comme dans l'exemple au JSON format suivant :

{ "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }