Amazon DynamoDB
Manuel du développeur (Version de l'API 2012-08-10)

Chiffrement au repos Amazon DynamoDB

Toutes les données stockées dans Amazon DynamoDB sont entièrement chiffrées au repos. DynamoDB fournit une sécurité accrue en chiffrant toutes vos données au repos à l'aide de clés de chiffrement stockées dans AWS Key Management Service (AWS KMS). Cette fonctionnalité réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Le chiffrement au repos vous permet de créer des applications sensibles en matière de sécurité qui sont conformes aux exigences réglementaires et de chiffrement strictes.

Le chiffrement DynamoDB au repos offre une couche supplémentaire de protection des données en sécurisant vos données dans la table chiffrée, y compris sa clé primaire, les index secondaires locaux et globaux, les flux, les tables globales, les sauvegardes et les clusters DynamoDB Accelerator (DAX) chaque fois que les données sont stockées sur un support durable. Les politiques organisationnelles et les réglementations sectorielles ou gouvernementales, ainsi que les exigences de conformité, exigent souvent l'utilisation du chiffrement au repos pour augmenter la sécurité des données de vos applications.

Le chiffrement au repos s'intègre dans AWS KMS pour la gestion de la clé de chiffrement utilisée pour chiffrer vos tables.

Lorsque vous créez une table, vous pouvez choisir une des clés principales du client (CMK) suivantes pour chiffrer cette table :

  • Clé détenue par AWS : c'est le type de chiffrement par défaut. La clé est détenue par DynamoDB (sans frais supplémentaires).

  • Clé CMK gérée par AWS : la clé est stockée dans votre compte et est gérée par AWS KMS (des frais AWS KMS s'appliquent).

Lorsque vous accédez à une table chiffrée, DynamoDB déchiffre les données de table de manière transparente. Vous pouvez basculer à tout moment entre la clé CMK détenue par AWS et la clé CMK gérée par AWS. Il n'est pas nécessaire de modifier du code ou des applications pour utiliser ou gérer des tables chiffrées. DynamoDB continue de fournir la même latence inférieure à 10 millisecondes à laquelle vous êtes habitué, et toutes les interrogations DynamoDB fonctionnent de manière transparente sur vos données chiffrées.

Pour plus d'informations, consultez Fonctionnement du chiffrement au repos et Notes d'utilisation du chiffrement au repos.

Pour savoir comment créer une table chiffrée ou changer de clé de chiffrement sur une table existante à l'aide d'AWS Management Console, de l'AWS Command Line Interface (AWS CLI) ou de l'API Amazon DynamoDB, consultez Gestion des tables chiffrées.

Note

Le chiffrement au repos est disponible dans toutes les régions commerciales AWS et dans AWS GovCloud (US), mais n'est pas pris en charge actuellement dans les régions AWS suivantes :

  • Chine (Pékin)

  • Chine (Ningxia)

Le chiffrement au repos à l'aide de la clé CMK détenue par AWS est fourni sans frais supplémentaires. Des coûts AWS KMS s'appliquent en revanche à la clé CMK gérée par AWS. Pour plus d'informations sur la tarification, consultez Tarification Amazon DynamoDB.