Amazon Relational Database Service
Guide de l'utilisateur

Chiffrement des ressources Amazon RDS

Vous pouvez chiffrer vos instances de base de données Amazon RDS et vos instantanés au repos en activant l’option de chiffrement pour vos instances de base de données Amazon RDS. Les données chiffrées au repos incluent le stockage sous-jacent pour les instances de base de données, les sauvegardes automatiques, les réplicas en lecture et les instantanés.

Les instances de base de données chiffrée Amazon RDS utilisent l’algorithme de chiffrement AES-256 standard pour chiffrer vos données sur le serveur qui héberge vos instances de base de données Amazon RDS. Une fois que vos données ont été chiffrées, Amazon RDS traite l'authentification de l'accès et le déchiffrement de vos données de façon transparente, avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.

Note

Pour les instances de base de données chiffrée et non chiffrées, les données en transit entre la source et le réplica en lecture sont chiffrées, même en cas de réplication entre régions.

Présentation du chiffrement des ressources Amazon RDS

Les instances de base de données chiffrée Amazon RDS fournissent une couche supplémentaire de protection des données en sécurisant vos données contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le chiffrement Amazon RDS pour renforcer la protection des données de vos applications déployées dans le cloud et pour satisfaire aux exigences de conformité pour le chiffrement des données au repos.

Amazon RDS prend également en charge le chiffrement d'une instance de base de données Oracle ou SQL Server à l'aide du chiffrement TDE (Transparent Data Encryption). Le chiffrement TDE peut être utilisé avec le chiffrement au repos, bien que l'utilisation simultanée de ces deux chiffrements puisse affecter quelque peu les performances de votre base de données. Vous devez gérer des clés différentes pour chaque méthode de chiffrement. Pour de plus amples informations sur TDE, veuillez consulter Oracle Transparent Data Encryption ou Prise en charge de Transparent Data Encryption dans SQL Server.

Pour gérer les clés utilisées pour le chiffrement et le déchiffrement de vos ressources Amazon RDS, utilisez AWS Key Management Service (AWS KMS). AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion de clés à l'échelle du cloud. En utilisant AWS KMS, vous pouvez créer des clés de chiffrement et définir les stratégies qui contrôlent la manière dont ces clés peuvent être utilisées. AWS KMS prend en charge CloudTrail, afin de vous permettre de vérifier que l'utilisation des clés est appropriée. Vous pouvez utiliser vos clés AWS KMS avec Amazon RDS et des services AWS pris en charge tels que Amazon S3, Amazon EBS et Amazon Redshift. Pour obtenir la liste des services qui prennent en charge AWS KMS, consultez Services pris en charge dans le Guide du développeur AWS Key Management Service.

Pour une instance de base de données chiffrée Amazon RDS, tous les journaux, sauvegardes et instantanés sont chiffrés. Un réplica en lecture d'une instance chiffrée Amazon RDS est également chiffré et avec la même clé que l'instance principale lorsque l'instance principale et le réplica en lecture se trouvent dans la même région AWS. Si l'instance principale et le réplica en lecture se trouvent dans des régions AWS différentes, vous devez les chiffrer à l'aide de la clé de chiffrement correspondant à leur région AWS spécifique.

Activation du chiffrement Amazon RDS pour une instance DB

Pour activer le chiffrement pour un nouveau cluster de base de données, sélectionnez Enable encryption (Activer le chiffrement) dans la console Amazon RDS. Pour plus d'informations sur la création d'une instance de base de données, consultez l'une des rubriques suivantes :

Si vous utilisez la commande d’AWS CLI create-db-instance pour créer une instance de base de données chiffrée, affectez au paramètre --storage-encrypted la valeur true. Si vous utilisez l'opération d'API CreateDBInstance, affectez au paramètre StorageEncrypted la valeur true.

Lorsque vous créez une instance de base de données chiffrée, vous pouvez également fournir l'identifiant de clé AWS KMS pour votre clé de chiffrement. Si vous ne précisez pas d'identifiant de clé AWS KMS, Amazon RDS utilise votre clé de chiffrement par défaut pour votre nouvelle instance de base de données. AWS KMS crée votre clé de chiffrement par défaut pour Amazon RDS, pour votre compte AWS. Votre compte AWS a une clé de chiffrement par défaut différente pour chaque région AWS.

Une fois que vous avez créé une instance de base de données chiffrée, vous ne pouvez pas modifier le type de clé de chiffrement pour cette instance de base de données. Vous devez donc prendre soin de déterminer vos besoins en termes de clés de chiffrement avant de créer votre instance de base de données chiffrées.

Si vous utilisez la commande d’AWS CLIcreate-db-instance pour créer une instance de base de données chiffrée, définissez le paramètre --kms-key-id sur l'Amazon Resource Name (ARN) de la clé de chiffrement AWS KMS pour l'instance de base de données. Si vous utilisez l'action d'API Amazon RDS CreateDBInstance, affectez au paramètre KmsKeyId le nom ARN de votre clé AWS KMS pour l'instance de base de données.

Vous pouvez utiliser le nom ARN d'une clé issue d'un autre compte pour chiffrer une instance de base de données. Vous pouvez aussi créer une instance de base de données à l'aide du compte AWS qui détient la clé de chiffrement AWS KMS utilisée pour chiffrer cette nouvelle instance de base de données. Dans ce cas, l'ID de clé AWS KMS que vous transmettez peut être l'alias de clé AWS KMS au lieu de l'ARN de la clé.

Disponibilité du chiffrement Amazon RDS

Le chiffrement Amazon RDS est actuellement disponible pour tous les moteurs de base de données et types de stockage.

Le chiffrement Amazon RDS est disponible pour la plupart des classes d'instance de base de données. Le tableau suivant répertorie les classes d'instance de base de données qui ne prennent pas en charge le chiffrement Amazon RDS :

Type d'instance Classe d'instance

Usage général (M1)

db.m1.small

db.m1.medium

db.m1.large

db.m1.xlarge

Mémoire optimisée (M2)

db.m2.xlarge

db.m2.2xlarge

db.m2.4xlarge

Capacité de transmission en rafales (T2)

db.t2.micro

Note

Le chiffrement au repos n'est pas disponible pour les instances de base de données exécutant SQL Server Express Edition.

Limitations des instances de base de données chiffrée Amazon RDS

Les limitations suivantes existent pour les instances de base de données chiffrée Amazon RDS :

  • Vous pouvez uniquement activer le chiffrement pour une instance de base de données Amazon RDS lorsque vous la créez, et non pas après sa création.

    Cependant, parce que vous pouvez chiffrer une copie d'un instantané de base de données non chiffré, vous pouvez ajouter le chiffrement efficacement à une instance de base de données non chiffrée. Autrement dit, vous pouvez créer un instantané de votre instance de base de données et ensuite créer une copie chiffrée de l'instantané. Vous pouvez ensuite restaurer une instance de base de données à partir de l'instantané chiffré et vous aurez une copie chiffrée de votre instance de base de données d'origine. Pour plus d'informations, consultez Copie d'un instantané.

  • Les d'instances de base de données qui sont chiffrés ne peuvent pas être modifiés pour désactiver le chiffrement.

  • Vous ne pouvez pas avoir un réplica en lecture chiffré d'une instance de base de données non chiffrée ni un réplica en lecture non chiffré d'une instance de base de données chiffrée.

  • Les réplicas en lecture chiffrés doivent être chiffrés avec la même clé que l'instance de base de données source.

  • Vous ne pouvez pas restaurer un instantané non chiffré ou une sauvegarde non chiffrée vers une instance de base de données chiffrée.

  • Pour copier un instantané chiffré d'une région AWS à une autre, vous devez spécifier l'identifiant de clé KMS de la région AWS de destination. Cela est dû au fait que les clés de chiffrement KMS sont spécifiques à la région AWS dans laquelle elles sont créées.

    L'instantané source reste chiffré pendant tout le processus de copie. AWS Key Management Service utilise le chiffrement d'enveloppe pour protéger les données pendant le processus de copie. Pour plus d'informations sur le fonctionnement du chiffrement d'enveloppe, consultez Chiffrement d'enveloppe.