Chiffrement de DynamoDB au repos - Amazon DynamoDB

Chiffrement de DynamoDB au repos

Toutes les données utilisateur stockées dans Amazon DynamoDB sont entièrement chiffrées au repos. Le chiffrement au repos de DynamoDB offre une sécurité renforcée en chiffrant toutes vos données au repos à l'aide de clés de chiffrement stockées dans AWS Key Management Service (AWS KMS). Cette fonctionnalité réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Le chiffrement au repos vous permet de créer des applications sensibles en matière de sécurité qui sont conformes aux exigences réglementaires et de chiffrement strictes.

Le chiffrement au repos de DynamoDB offre une couche supplémentaire de protection des données en sécurisant celles-ci dans une table chiffrée incluant une clé primaire, des index secondaires locaux et globaux, des flux, des tables globales, des sauvegardes et des clusters DynamoDB Accelerator (DAX) chaque fois que les données sont stockées sur un support durable. Les politiques organisationnelles et les réglementations sectorielles ou gouvernementales, ainsi que les exigences de conformité, exigent souvent l'utilisation du chiffrement au repos pour augmenter la sécurité des données de vos applications.

Le chiffrement au repos s'intègre dans AWS KMS pour la gestion de la clé de chiffrement utilisée pour chiffrer vos tables. Pour plus d'informations, consultez Concepts de AWS Key Management Service dans le Guide du développeur AWS Key Management Service.

Lorsque vous créez une table, vous pouvez choisir une des clés AWS KMS keyssuivantes pour chiffrer cette table :

  • Clé détenue par AWS – Type de chiffrement par défaut. La clé est détenue par DynamoDB (sans frais supplémentaires).

  • Clé gérée par AWS – La clé est stockée dans votre compte et est gérée par AWS KMS (des frais AWS KMS s'appliquent).

  • Clé gérée par le client – La clé est créée, détenue et gérée par vous, et stockée dans votre compte. Vous disposez d'un contrôle total sur la clé KMS (des frais AWS KMS s'appliquent).

Note

Lors de la création d'un cluster DAX avec le chiffrement au repos activé, une clé Clé gérée par AWS est utilisée pour chiffrer les données au repos dans le cluster.

Lorsque vous accédez à une table chiffrée, DynamoDB déchiffre les données de la table de manière transparente. Vous pouvez basculer à tout moment entre la clé Clé détenue par AWS, la clé Clé gérée par AWS et la clé gérée par le client. Vous n'avez pas besoin de changer de code ou d'application pour utiliser ou gérer des tables chiffrées. DynamoDB continue d'offrir la même latence inférieure à 10 millisecondes à laquelle vous êtes habitué, et toutes les interrogations de DynamoDB fonctionnent sans heurt sur vos données chiffrées.

Vous pouvez spécifier une clé de chiffrement lorsque vous créez une table ou changez les clés de chiffrement sur une table existante en utilisant la AWS Management Console, l'AWS Command Line Interface (AWS CLI) ou l'API Amazon DynamoDB. Pour savoir comment procéder, veuillez consulter la section Gestion des tables chiffrées dans DynamoDB.

Le chiffrement au repos à l'aide de la clé Clé détenue par AWS est fourni sans frais supplémentaires. Toutefois, des frais AWS KMS s'appliquent pour une clé Clé gérée par AWS et pour une clé gérée par le client. Pour de plus amples informations sur la tarification, veuillez consulter Tarification AWS KMS.

Le chiffrement DynamoDB au repos est disponible dans toutes les régions AWS, dont AWS Chine (Beijing) et AWS Chine (Ningxia), ainsi que les régions AWS GovCloud (US). Pour plus d'informations, consultez Fonctionnement du chiffrement au repos et Notes d'utilisation du chiffrement de DynamoDB au repos.