Chiffrement des ressources RDS

Amazon RDS peut chiffrer vos d'instances de base de données RDSAmazon . Les données chiffrées au repos incluent le stockage sous-jacent pour les instances de base de données, les sauvegardes automatiques, les réplicas en lecture et les instantanés.

Une fois vos données chiffrées, Amazon RDS Amazon gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.

Note

Pour les d'instances de base de données chiffrés et non chiffrés, les données en transit entre la source et les répliques lues sont chiffrées, même lors de la réplication entre régions. AWS

Présentation du chiffrement des ressources Amazon RDS

RDSLes instances de base de données cryptées Amazon fournissent un niveau supplémentaire de protection des données en protégeant vos données contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le RDS chiffrement Amazon pour renforcer la protection des données de vos applications déployées dans le cloud et pour répondre aux exigences de conformité relatives au chiffrement au repos.

Pour une instance de base de données RDS cryptée Amazon, tous les journaux, sauvegardes et instantanés sont chiffrés. Amazon RDS utilise une AWS Key Management Service clé pour chiffrer ces ressources. Pour plus d'informations sur KMS les clés, consultez AWS KMS keysle guide du AWS Key Management Service développeur etAWS KMS key management. Si vous copiez un instantané chiffré, vous pouvez utiliser une KMS clé différente pour chiffrer l'instantané cible que celle utilisée pour chiffrer l'instantané source.

Une réplique en lecture d'une instance RDS cryptée Amazon doit être chiffrée à l'aide de la même KMS clé que l'instance de base de données principale lorsque les deux se trouvent dans la même AWS région. Si l'instance de base de données principale et la réplique en lecture se trouvent dans AWS des régions différentes, vous chiffrez la réplique en lecture à l'aide de la KMS clé de cette AWS région.

Vous pouvez utiliser un Clé gérée par AWS, ou vous pouvez créer des clés gérées par le client. Pour gérer les clés gérées par le client utilisées pour chiffrer et déchiffrer vos ressources RDS Amazon, vous utilisez AWS Key Management Service le ().AWS KMS AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. À l'aide de AWS KMS, vous pouvez créer des clés gérées par le client et définir les politiques qui contrôlent la manière dont ces clés gérées par le client peuvent être utilisées. AWS KMS prend en charge CloudTrail, afin que vous puissiez auditer l'utilisation des KMS clés afin de vérifier que les clés gérées par le client sont utilisées de manière appropriée. Vous pouvez utiliser vos clés gérées par le client avec Amazon Aurora et les AWS services pris en charge tels qu'Amazon S3EBS, Amazon et Amazon Redshift. Pour obtenir la liste des services intégrés AWS KMS, consultez la section Intégration des AWS services.

Amazon prend RDS également en charge le chiffrement d'une instance de base de données Oracle ou SQL Server avec Transparent Data Encryption (TDE). TDEpeut être utilisé avec le RDS chiffrement au repos, bien que l'utilisation TDE et le RDS chiffrement simultanés au repos puissent légèrement affecter les performances de votre base de données. Vous devez gérer des clés différentes pour chaque méthode de chiffrement. Pour plus d'informations surTDE, voir Oracle Transparent Data Encryption ouSupport pour le chiffrement transparent des données sur le SQL serveur.

Chiffrement d'une instance de base de données

Pour chiffrer une nouvelle instance de base de données, choisissez Activer le chiffrement sur la RDS console Amazon. Pour plus d'informations sur la création d'une instance de base de données, veuillez consulter Création d'une RDS instance de base de données Amazon.

Si vous utilisez la create-db-instance AWS CLI commande pour créer une instance de base de données cryptée, définissez le --storage-encrypted paramètre. Si vous utilisez l'reateDBInstanceAPIopération C, définissez le StorageEncrypted paramètre sur true.

Lorsque vous créez une instance de base de données chiffrée, vous pouvez choisir une clé gérée par le client ou une clé Clé gérée par AWS pour Amazon RDS pour chiffrer votre instance de base de données. Si vous ne spécifiez pas l'identifiant de clé pour une clé gérée par le client, Amazon l'RDSutilise Clé gérée par AWS pour votre nouvelle instance de base de données. Amazon RDS crée un Clé gérée par AWS identifiant pour Amazon RDS pour votre AWS compte. Votre AWS compte Amazon possède un compte différent Clé gérée par AWS RDS pour chaque AWS région.

Pour plus d'informations sur KMS les clés, consultez AWS KMS keysle guide du AWS Key Management Service développeur.

Une fois que vous avez créé une instance de base de données chiffrée, vous ne pouvez pas modifier la KMS clé utilisée par cette instance de base de données. Par conséquent, assurez-vous de déterminer vos exigences KMS clés avant de créer votre instance de base de données chiffrée.

Si vous utilisez la AWS CLI create-db-instance commande pour créer une instance de base de données cryptée avec une clé gérée par le client, définissez le --kms-key-id paramètre sur n'importe quel identifiant de clé pour la KMS clé. Si vous utilisez l'RDSAPICreateDBInstanceopération Amazon, définissez le KmsKeyId paramètre sur n'importe quel identifiant de clé pour la KMS clé. Pour utiliser une clé gérée par le client dans un autre AWS compte, spécifiez la clé ARN ou l'aliasARN.

Important

Amazon RDS peut perdre l'accès à la KMS clé d'une instance de base de données lorsque vous la KMS désactivez. Dans ces cas, l'instance de base de données cryptée passe rapidement à inaccessible-encryption-credentials-recoverable l'état. L'instance de base de données reste dans cet état pendant sept jours, au cours desquels elle est arrêtée. APIles appels effectués à l'instance de base de données pendant cette période risquent d'échouer. Pour récupérer l'instance de base de données, activez la KMS clé et redémarrez cette instance de base de données. Activez la KMS touche depuis le AWS Management Console. Redémarrez l'instance de base de données à l'aide de la AWS CLI commande start-db-instanceou AWS Management Console.

Si l'instance de base de données n'est pas récupérée dans les sept jours, elle passe à inaccessible-encryption-credentials l'état terminal. Dans cet état, l'instance de base de données n'est plus utilisable et vous ne pouvez la restaurer qu'à partir d'une sauvegarde. Nous vous recommandons vivement de toujours activer les sauvegardes pour les instances de base de données chiffrées afin de vous prémunir contre la perte de données chiffrées dans vos bases de données.

Lors de la création d'une instance de base de données, Amazon RDS vérifie si le principal appelant a accès à la KMS clé et génère une autorisation à partir de la KMS clé qu'il utilise pendant toute la durée de vie de l'instance de base de données. La révocation de l'accès du principal appelant à la KMS clé n'a aucune incidence sur une base de données active. Lorsque vous utilisez KMS des clés dans des scénarios entre comptes, tels que la copie d'un instantané sur un autre compte, la KMS clé doit être partagée avec l'autre compte. Si vous créez une instance de base de données à partir de l'instantané sans spécifier de KMS clé différente, la nouvelle instance utilise la KMS clé du compte source. La révocation de l'accès à la clé après avoir créé l'instance de base de données n'affecte pas l'instance. Cependant, la désactivation de la clé a un impact sur toutes les instances de base de données chiffrées avec cette clé. Pour éviter cela, spécifiez une autre clé lors de l'opération de copie instantanée.

Détermination si le chiffrement est activé pour une instance de base de données

Vous pouvez utiliser le AWS Management Console AWS CLI, ou RDS API pour déterminer si le chiffrement au repos est activé pour une instance de base de données.

Console

Pour déterminer si le chiffrement au repos est activé pour une instance de base de données

1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

2. Dans le panneau de navigation, choisissez Databases (Bases de données).

3. Sélectionnez le nom de l'instance de base de données que vous souhaitez vérifier pour afficher ses détails.

4. Cliquez sur l'onglet Configuration et cochez la case Encryption (Chiffrement) sous Storage (Stockage).

   Il indique Enabled (Activé) ou Not enabled (Non activé).

   

AWS CLI

Pour déterminer si le chiffrement au repos est activé pour une instance de base de données à l'aide de AWS CLI, appelez la describe-db-instancescommande avec l'option suivante :

• --db-instance-identifier – Nom de l'instance de base de données.

L'exemple suivant utilise une requête pour renvoyer TRUE ou FALSE concernant le chiffrement au repos pour l'instance de base de données mydb.

Exemple

aws rds describe-db-instances --db-instance-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

RDS API

Pour déterminer si le chiffrement au repos est activé pour une instance de base de données à l'aide d'Amazon RDSAPI, appelez l'escribeDBInstancesopération D avec le paramètre suivant :

• DBInstanceIdentifier – Nom de l'instance de base de données.

Disponibilité du chiffrement RDSAmazon

Le chiffrement RDSAmazon est actuellement disponible pour tous les moteurs de base de données et types de stockage, à l'exception de SQL Server Express Edition.

RDSLe chiffrement Amazon est disponible pour la plupart des classes d'instances de base de données. Le tableau suivant répertorie les classes d'instances de base de données qui ne prennent pas en charge RDS le chiffrement Amazon :

Type d’instance	Classe d'instance
Polyvalent (M1)	db.m1.small db.m1.medium db.m1.large db.m1.xlarge
Mémoire optimisée (M2)	db.m2.xlarge db.m2.2xlarge db.m2.4xlarge
Capacité extensible (T2)	db.t2.micro

Chiffrement en transit

AWS fournit une connectivité sécurisée et privée entre les instances de base de données de tous types. En outre, certains types d’instances utilisent les capacités de déchargement du matériel du système Nitro sous-jacent pour chiffrer automatiquement le trafic en transit entre instances. Ce chiffrement utilise des algorithmes de chiffrement authentifié avec données associées (AEAD), avec un cryptage de 256 bits. Il n’y a aucun impact sur les performances du réseau. Pour prendre en charge ce chiffrement supplémentaire du trafic en transit entre les instances, les exigences suivantes doivent être satisfaites :

• Les instances utilisent les types d’instance suivants :

  • Usage général : M6i, M6id, M6in, M6idn, M7g

  • Mémoire optimisée : R6i, R6id, R6in, R6idn, R7g, X2idn, X2iEDN, X2ieZN

• Les instances sont identiques Région AWS.

• Les instances sont identiques VPC ou homologuesVPCs, et le trafic ne passe pas par un périphérique ou un service réseau virtuel, tel qu'un équilibreur de charge ou une passerelle de transit.

Limites des d'instances de base de données chiffrées RDSAmazon

Les limitations suivantes s'appliquent aux d'instances de base de données chiffrées RDSAmazon  :

• Vous ne pouvez chiffrer une RDS instance de base de données Amazon que lorsque vous la créez, et non une fois l'instance de base de données créée.

  Cependant, parce que vous pouvez chiffrer une copie d'un instantané non chiffré, vous pouvez ajouter le chiffrement efficacement à une instance de base de données non chiffrée. Autrement dit, vous pouvez créer un instantané de votre instance de base de données et ensuite créer une copie chiffrée de l'instantané. Vous pouvez ensuite restaurer une instance de base de données à partir de l'instantané chiffré et vous aurez une copie chiffrée de votre instance de base de données d'origine. Pour de plus amples informations, veuillez consulter Copier un instantané de base de données pour Amazon RDS.

• Vous ne pouvez pas désactiver le chiffrement d'un(e) cluster de bases de données chiffrées.

• Vous ne pouvez pas créer d'instantané chiffré de cluster d'instances.

• Un instantané d'un d'instances de base de données chiffré doit être chiffré à l'aide de la même KMS clé que le d'instances de base de données.

• Vous ne pouvez pas avoir un réplica en lecture chiffré d'une instance de base de données non chiffrée ni un réplica en lecture non chiffré d'une instance de base de données chiffrée.

• Les répliques de lecture chiffrées doivent être chiffrées avec la même KMS clé que l'instance de base de données source lorsque les deux se trouvent dans la même AWS région.

• Vous ne pouvez pas restaurer un instantané non chiffré ou une sauvegarde non chiffrée vers une instance de base de données chiffrée.

• Pour copier un instantané chiffré d'une AWS région à une autre, vous devez spécifier la KMS clé dans la AWS région de destination. Cela est dû au fait que les KMS clés sont spécifiques à la AWS région dans laquelle elles sont créées.

  L'instantané source reste chiffré pendant tout le processus de copie. Amazon RDS Amazon utilise le chiffrement des enveloppes pour protéger les données pendant le processus de copie. Pour plus d'informations sur le chiffrement d'enveloppe, consultez Chiffrement d'enveloppe dans le Guide du développeur AWS Key Management Service .

• Vous ne pouvez pas déchiffrer un cluster de bases de données chiffrées. Vous pouvez cependant exporter des données à partir d'un cluster de bases de données et importer les données dans un cluster de bases de données non chiffrées.