Amazon DynamoDB
Manuel du développeur (Version de l'API 2012-08-10)

Chiffrement au repos DynamoDB

Toutes les données stockées dans Amazon DynamoDB sont entièrement chiffrées au repos. DynamoDB fournit une sécurité accrue en chiffrant toutes vos données au repos à l'aide de clés de chiffrement stockées dans AWS Key Management Service (AWS KMS). Cette fonctionnalité réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Le chiffrement au repos vous permet de créer des applications sensibles en matière de sécurité qui sont conformes aux exigences réglementaires et de chiffrement strictes.

Le chiffrement DynamoDB au repos offre une couche supplémentaire de protection des données en sécurisant vos données dans une table chiffrée, y compris sa clé primaire, les index secondaires locaux et globaux, les flux, les tables globales, les sauvegardes et les clusters DynamoDB Accelerator (DAX) chaque fois que les données sont stockées sur un support durable. Les politiques organisationnelles et les réglementations sectorielles ou gouvernementales, ainsi que les exigences de conformité, exigent souvent l'utilisation du chiffrement au repos pour augmenter la sécurité des données de vos applications.

Le chiffrement au repos s'intègre dans AWS KMS pour la gestion de la clé de chiffrement utilisée pour chiffrer vos tables. Pour de plus amples informations, veuillez consulter Concepts d'AWS Key Management Service dans le AWS Key Management Service Developer Guide.

Lorsque vous créez une table, vous pouvez choisir une des clés principales du client (CMK) suivantes pour chiffrer cette table :

  • Clé détenue par AWS – C'est le type de chiffrement par défaut. La clé est détenue par DynamoDB (sans frais supplémentaires).

  • Clé CMK gérée par AWS – La clé est stockée dans votre compte et est gérée par AWS KMS (des frais AWS KMS s'appliquent).

  • Clé CMK gérée par le client – La clé est stockée dans votre compte et elle est créée, possédée et gérée par vous. Vous disposez d'un contrôle total sur la clé CMK (des frais AWS KMS s'appliquent).

Lorsque vous accédez à une table chiffrée, DynamoDB déchiffre les données de table de manière transparente. Vous pouvez basculer à tout moment entre la clé CMK détenue par AWS et la clé CMK gérée par AWS. Il n'est pas nécessaire de modifier du code ou des applications pour utiliser ou gérer des tables chiffrées. DynamoDB continue de fournir la même latence inférieure à 10 millisecondes à laquelle vous êtes habitué, et toutes les interrogations DynamoDB fonctionnent de manière transparente sur vos données chiffrées.

Vous pouvez spécifier une clé de chiffrement lorsque vous créez une nouvelle table ou que vous changez les clés de chiffrement sur une table existante en utilisant la AWS Management Console, l'AWS Command Line Interface (AWS CLI) ou l'API Amazon DynamoDB. Pour savoir comment procéder, consultez Gestion des tables chiffrées.

Le chiffrement au repos à l'aide de la clé CMK détenue par AWS est fourni sans frais supplémentaires. Toutefois, des frais AWS KMS s'appliquent pour une clé CMK gérée par AWS et pour une clé CMK gérée par le client. Pour de plus amples informations sur la tarification, veuillez consulter Tarification AWS KMS.

Le chiffrement DynamoDB au repos est disponible dans toutes les régions AWS, dont AWS Chine (Beijing) et AWS Chine (Ningxia), ainsi que les régions AWS GovCloud (US). La prise en charge du chiffrement au repos pour les clés CMK gérées par le client est disponible dans toutes les régions AWS, à l'exception de la région Asie-Pacifique (Osaka-Local). Pour plus d'informations, consultez Fonctionnement du chiffrement au repos et Notes d'utilisation du chiffrement au repos.