Chiffrement au repos DAX

Le chiffrement Amazon DynamoDB Accelerator (DAX) au repos fournit une couche supplémentaire de protection des données en contribuant à sécuriser vos données contre tout accès non autorisé au stockage sous-jacent. Les politiques organisationnelles et les réglementations sectorielles ou gouvernementales, ainsi que les exigences de conformité, peuvent nécessiter l'utilisation du chiffrement au repos pour protéger vos données. Vous pouvez utiliser le chiffrement pour renforcer la sécurité des données de vos applications déployées dans le cloud.

Avec le chiffrement au repos, les données conservées par DAX sur disque sont chiffrées en utilisant les algorithmes Advanced Encryption Standard 256 bits, également appelé chiffrement AES-256. DAX écrit les données sur disque dans le cadre de la propagation des modifications du nœud principal aux nœuds de réplica en lecture.

Le chiffrement DAX au repos est automatiquement intégré avec AWS Key Management Service (AWS KMS) pour gérer la clé de service par défaut unique utilisée pour chiffrer vos clusters. S'il n'existe pas de clé de service par défaut lorsque vous créez votre cluster DAX chiffré, AWS KMS crée automatiquement une clé gérée par AWS pour vous. Cette clé sera utilisée avec les clusters chiffrés qui seront dans le futur. AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion de clés à l'échelle du cloud.

Une fois vos données chiffrées, DAX gère leur déchiffrement de façon transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications pour utiliser le chiffrement.

Note

DAX n'appelle pas AWS KMS pour chaque opération DAX unique. DAX n'utilise la clé qu'au lancement du cluster. Même si l'accès est révoqué, DAX peut toujours accéder aux données jusqu'à ce que le cluster soit arrêté. Les clés AWS KMS spécifiées par le client ne sont pas prises en charge.

Le chiffrement DAX au repos est disponible pour les types de nœuds de cluster suivants :

Famille	Type de nœud
Mémoire optimisée (R4 et R5)	dax.r4.large dax.r4.xlarge dax.r4.2xlarge dax.r4.4xlarge dax.r4.8xlarge dax.r4.16xlarge dax.r5.large dax.r5.xlarge dax.r5.2xlarge dax.r5.4xlarge dax.r5.8xlarge dax.r5.12xlarge dax.r5.16xlarge dax.r5.24xlarge
Usage général (T2)	dax.t2.small dax.t2.medium
Usage général (T3)	dax.t3.small dax.t3.medium

Important

Le chiffrement DAX au repos n'est pas pris en charge pour les types de nœuds dax.r3.*.

Le chiffrement au repos ne peut pas être activé ni désactivé après la création d'un cluster. Vous devez recréer le cluster pour activer le chiffrement au repos s'il n'a pas été activé à la création.

Le chiffrement DAX au repos est offert sans coût supplémentaire (des coûts d'utilisation de clé de chiffrement AWS KMS s'appliquent). Pour plus d'informations sur la tarification, consultez Tarification Amazon DynamoDB.

Activation du chiffrement au repos à l'aide de la AWS Management Console

Suivez ces étapes pour activer le chiffrement DAX au repos sur une table à l'aide de la console.

Pour activer le chiffrement DAX au repos

1. Connectez-vous à l'AWS Management Console et ouvrez la console DynamoDB à l'adresse https://console.aws.amazon.com/dynamodb/.

2. Dans le volet de navigation sur le côté gauche de la console, sous DAX, choisissez Clusters.

3. Choisissez Create Cluster (Créer un cluster).

4. Pour le Cluster name (Nom du cluster), saisissez un nom court pour votre cluster. Choisissez le type de nœud pour tous les nœuds du cluster et utilisez 3 nœuds pour la taille du cluster.

5. Dans Chiffrement, assurez-vous que Activer le chiffrement est sélectionné.

   

6. Après avoir choisi le rôle IAM, le groupe de sous-réseaux, les groupes de sécurité et les paramètres du cluster, choisissez Lancer le cluster.

Pour vérifier que le cluster est chiffré, consultez les détails du cluster sous le volet Clusters. Le chiffrement doit être paramétré sur ENABLED (ACTIVÉ).