Chiffrement des ressources Amazon RDS - Amazon Relational Database Service

Chiffrement des ressources Amazon RDS

Amazon RDS peut chiffrer vos Amazon RDS clusters d'instances. Les données chiffrées au repos incluent le stockage sous-jacent pour les instances de base de données, les sauvegardes automatiques, les réplicas en lecture et les instantanés.

Les instances de base de données chiffrée Amazon RDS utilisent l'algorithme de chiffrement AES-256 standard pour chiffrer vos données sur le serveur qui héberge vos instances de base de données Amazon RDS. Une fois que vos données ont été chiffrées, Amazon RDS traite l'authentification de l'accès et le déchiffrement de vos données de façon transparente, avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.

Note

Pour les instances de base de données chiffrées et non chiffrées, les données en transit entre la source et le réplica en lecture sont chiffrées, même en cas de réplication entre régions AWS.

Présentation du chiffrement des ressources Amazon RDS

Les instances de base de données chiffrée Amazon RDS fournissent une couche supplémentaire de protection des données en sécurisant vos données contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le chiffrement Amazon RDS pour renforcer la protection des données de vos applications déployées dans le cloud et pour satisfaire aux exigences de conformité pour le chiffrement au repos.

Amazon RDS prend également en charge le chiffrement d'une instance de base de données Oracle ou SQL Server à l'aide du chiffrement TDE (Transparent Data Encryption). Le chiffrement TDE peut être utilisé avec le chiffrement au repos, bien que l'utilisation simultanée de ces deux chiffrements puisse affecter quelque peu les performances de votre base de données. Vous devez gérer des clés différentes pour chaque méthode de chiffrement. Pour de plus amples informations sur TDE, veuillez consulter Oracle Transparent Data Encryption ou Prise en charge de Transparent Data Encryption dans SQL Server.

Pour une instance de base de données chiffrée Amazon RDS, l'ensemble des journaux, sauvegardes et instantanés sont chiffrés. Amazon RDS utilise une clé principale client (CMK) AWS KMS pour chiffrer ces ressources. Pour plus d'informations sur les clés CMK, consultez Clés principales client (CMK) dans le Guide du développeur AWS Key Management Service. Si vous copiez un instantané chiffré, vous pouvez utiliser une clé CMK différente pour chiffrer l'instantané cible que celle utilisée pour chiffrer l'instantané source.

Un réplica en lecture d'une instance Amazon RDS chiffrée doit également être chiffré avec la même clé CMK que l'instance de base de données principale lorsque tous deux se trouvent dans la même région AWS. Si l'instance de base de données principale et le réplica en lecture se trouvent dans des régions AWS différentes, vous chiffrez le réplica en lecture à l'aide de la clé CMK correspondant à ces régions AWS.

Pour gérer les clés principales client (CMK) utilisées pour le chiffrement et le déchiffrement de vos ressources Amazon RDS, vous utilisez l'AWS Key Management Service (AWS KMS). AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés à l'échelle du cloud. AWS KMS vous permet de créer des clés CMK et de définir les stratégies qui contrôlent la manière dont ces clés peuvent être utilisées. AWS KMS prend en charge CloudTrail, de façon à ce que vous puissiez vérifier que les clés CMK sont utilisées de manière appropriée. Vous pouvez utiliser vos clés CMK avec Amazon RDS et les services AWS pris en charge tels que Amazon S3, Amazon EBS et Amazon Redshift. Pour obtenir la liste des services intégrés à AWS KMS, consultez Services pris en charge dans le Guide du développeur AWS Key Management Service.

Activation du chiffrement Amazon RDS pour une instance de base de données

Pour activer le chiffrement pour un nouveau cluster de base de données, sélectionnez Enable encryption (Activer le chiffrement) dans la console Amazon RDS. Pour de plus amples informations sur la création d'une instance de base de données, veuillez consulter Création d'une instance de base de données Amazon RDS.

Si vous utilisez la commande d’AWS CLI create-db-instance pour créer une instance de base de données chiffrée, définissez le paramètre --storage-encrypted. Si vous utilisez l'opération d'API CreateDBInstance, affectez au paramètre StorageEncrypted la valeur true.

Lorsque vous créez une instance de base de données chiffrée, vous pouvez choisir une clé CMK gérée par le client ou la clé CMK gérée par AWS pour Amazon RDS pour chiffrer votre instance de base de données. Si vous ne spécifiez pas l'identifiant de clé d'une clé gérée par le client, Amazon RDS utilise la clé CMK gérée par AWS pour votre nouvelle instance de base de données. Amazon RDS crée une clé CMK gérée par AWS pour Amazon RDS pour votre compte AWS. Votre compte AWS dispose d'une clé CMK gérée par AWS pour Amazon RDS différente pour chaque région AWS.

Une fois que vous avez créé une instance de base de données chiffrée, vous ne pouvez pas modifier la clé CMK utilisée par cette instance de base de données. Vous devez donc prendre soin de déterminer vos besoins en termes de clés CMK avant de créer votre instance de base de données chiffrée.

Si vous utilisez la commande AWS CLI create-db-instance pour créer une instance de base de données chiffrée avec une clé CMK gérée par le client, définissez le paramètres --kms-key-id sur n'importe quel identifiant de clé pour la clé CMK. Si vous utilisez l'opération Amazon RDS de l'API CreateDBInstance, définissez le paramètre KmsKeyId sur n'importe quel identifiant de clé pour la clé CMK. Pour utiliser une clé CMK gérée par le client dans un autre compte AWS, spécifiez l'ARN clé ou ARN d'alias.

Important

Si Amazon RDS perd l'accès à la clé CMK pour une instance de base de données — par exemple, lorsque l'accès RDS à une clé CMK est révoqué — l'instance de base de données chiffrée est placée dans un état de mise hors service. Dans ce cas, vous pouvez uniquement restaurer l'instance de base de données à partir d'une sauvegarde. Nous vous recommandons vivement de toujours activer les sauvegardes des instances de base de données chiffrée pour éviter de perdre des données chiffrées dans vos bases de données.

Disponibilité du chiffrement Amazon RDS

Le chiffrement Amazon RDS est actuellement disponible pour tous les moteurs de base de données et types de stockage.

Le chiffrement Amazon RDS est disponible pour la plupart des classes d'instance de base de données. Le tableau suivant répertorie les classes d'instance de base de données qui ne prennent pas en charge le chiffrement Amazon RDS :

Type d'instance Classe d'instance

Usage général (M1)

db.m1.small

db.m1.medium

db.m1.large

db.m1.xlarge

Mémoire optimisée (M2)

db.m2.xlarge

db.m2.2xlarge

db.m2.4xlarge

Capacité de transmission en rafales (T2)

db.t2.micro

Note

Le chiffrement au repos n'est pas disponible pour les instances de base de données exécutant SQL Server Express Edition.

Limitations des instances de base de données chiffrées Amazon RDS

Les limitations suivantes existent pour les instances de base de données chiffrées Amazon RDS :

  • Vous pouvez uniquement activer le chiffrement pour une instance de base de données Amazon RDS lorsque vous la créez, et non pas après sa création.

    Cependant, parce que vous pouvez chiffrer une copie d'un instantané non chiffré, vous pouvez ajouter le chiffrement efficacement à une instance de base de données non chiffrée. Autrement dit, vous pouvez créer un instantané de votre instance de base de données et ensuite créer une copie chiffrée de l'instantané. Vous pouvez ensuite restaurer une instance de base de données à partir de l'instantané chiffré et vous aurez une copie chiffrée de votre instance de base de données d'origine. Pour plus d'informations, consultez Copie d'un snapshot de .

  • Vous ne pouvez pas désactiver le chiffrement d'un cluster de bases de données chiffrées.

  • Vous ne pouvez pas créer d'instantané chiffré de cluster d'instances.

  • Un instantané de d'instances de bases de données chiffrées doit être chiffré à l'aide de la même clé CMK que le d'instances de bases de données.

  • Vous ne pouvez pas avoir un réplica en lecture chiffré d'une instance de base de données non chiffrée ni un réplica en lecture non chiffré d'une instance de base de données chiffrée.

  • Les réplicas en lecture chiffrés doivent être chiffrés avec la même clé CMK que l'instance de base de données source lorsque tous deux se trouvent dans la même région AWS.

  • Vous ne pouvez pas restaurer un instantané non chiffré ou une sauvegarde non chiffrée vers une instance de base de données chiffrée.

  • Pour copier un instantané chiffré d'une région AWS à une autre, vous devez spécifier la clé CMK de la région AWS de destination. En effet, les clés CMK sont spécifiques à la régionAWS dans laquelle elles sont créées.

    L'instantané source reste chiffré pendant tout le processus de copie. Amazon RDS utilise un chiffrement d'enveloppe pour protéger les données pendant le processus de copie. Pour plus d'informations sur le chiffrement d'enveloppe, consultez Chiffrement d'enveloppe dans le Guide du développeurAWS Key Management Service.

  • Vous ne pouvez pas déchiffrer un cluster de bases de données chiffrées. Vous pouvez cependant exporter des données à partir d'un cluster de bases de données et importer les données dans un cluster de bases de données non chiffrées.