Fonctionnement du chiffrement au repos - Amazon DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement du chiffrement au repos

Le chiffrement Amazon DynamoDB au repos chiffre vos données à l'aide du chiffrement Advanced Encryption Standard 256 bits (AES-256), ce qui contribue à sécuriser vos données contre tout accès non autorisé au stockage sous-jacent.

Encryption at rest s'intègre à AWS Key Management Service (AWS KMS) pour gérer les clés de chiffrement utilisées pour chiffrer vos tables.

Note

En mai 2022, le calendrier de rotation AWS KMS a été modifié, Clés gérées par AWS passant de tous les trois ans (environ 1 095 jours) à chaque année (environ 365 jours).

Clés gérées par AWS Les nouvelles versions font l'objet d'une rotation automatique un an après leur création, et environ chaque année par la suite.

Clés gérées par AWS Les versions existantes font automatiquement l'objet d'une rotation un an après leur dernière rotation, puis chaque année.

Clés détenues par AWS

Clés détenues par AWS ne sont pas enregistrés dans votre AWS compte. Elles font partie d'un ensemble de clés KMS qui AWS possède et gère pour une utilisation dans plusieurs AWS comptes. AWS services que vous pouvez Clés détenues par AWS utiliser pour protéger vos données. Clés détenues par AWS utilisés par DynamoDB font l'objet d'une rotation annuelle (environ 365 jours).

Vous ne pouvez pas consulter, gérer Clés détenues par AWS, utiliser ou auditer leur utilisation. Toutefois, vous n'avez pas besoin de faire quelque travail que ce soit ou de modifier les programmes pour protéger les clés qui chiffrent vos données.

Aucuns frais mensuels ni frais d'utilisation ne vous sont facturés pour l'utilisation de Clés détenues par AWS, et ils ne sont pas pris en compte dans les AWS KMS quotas de votre compte.

Clés gérées par AWS

Clés gérées par AWS sont des clés KMS de votre compte créées, gérées et utilisées en votre nom par un AWS service intégré à AWS KMS. Vous pouvez afficher les clés Clés gérées par AWS dans votre compte, afficher leurs politiques de clé et contrôler leur utilisation dans les journaux AWS CloudTrail . Toutefois, vous ne pouvez pas gérer ces clés KMS ou modifier leurs autorisations.

Encryption at rest s'intègre automatiquement AWS KMS à DynamoDB aws/dynamodb () qui est utilisé Clés gérées par AWS pour chiffrer vos tables pour gérer. S'il Clé gérée par AWS n'en existe pas lorsque vous créez votre table DynamoDB chiffrée AWS KMS , une nouvelle clé est automatiquement créée pour vous. Cette clé est utilisée avec les tables chiffrées créées dans le futur. AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud.

Pour plus d'informations sur la gestion des autorisations du Clé gérée par AWS, voir Autoriser l'utilisation du Clé gérée par AWS dans le Guide du AWS Key Management Service développeur.

Clés gérées par le client

Les clés gérées par le client sont des clés KMS de votre AWS compte que vous créez, détenez et gérez. Vous disposez d'un contrôle total sur ces clés KMS, incluant l'établissement et la gestion de leurs politiques de clé, politiques IAM et octrois, leur activation et désactivation, la rotation de leur contenu de chiffrement, l'ajout d'étiquettes, la création d'alias qui y font référence, et la planification de leur suppression. Pour plus d'informations sur la gestion des autorisations d'une clé gérée par le client, consultez Politique de clé gérée par le client.

Lorsque vous spécifiez une clé gérée par le client comme clé de chiffrement au niveau de la table, la table DynamoDB, les index secondaires locaux et globaux, ainsi que les flux sont chiffrés avec la même clé. Les sauvegardes à la demande sont chiffrées à l'aide de la clé de chiffrement au niveau de la table spécifiée au moment de leur création. La mise à jour de la clé de chiffrement au niveau de la table n'a pas pour effet de modifier la clé de chiffrement associée aux sauvegardes à la demande existantes.

La désactivation de la clé gérée par le client ou la planification de sa suppression empêchent tous les utilisateurs et le service DynamoDB de chiffrer ou déchiffrer des données, ainsi que d'effectuer des opérations de lecture et d'écriture sur la table. Pour vous permettre de continuer à accéder à votre table et vous éviter de perdre des données, DynamoDB doit avoir accès à votre clé de chiffrement.

Si vous désactivez votre clé gérée par le client ou planifiez sa suppression, l'état de votre table devient Inaccessible. Pour vous assurer de pouvoir continuer à utiliser la table, vous devez fournir à DynamoDB l'accès à la clé de chiffrement spécifiée dans un délai de sept jours. Dès que le service détecte que votre clé de chiffrement est inaccessible, DynamoDB vous envoie une notification par e-mail pour vous alerter.

Note
  • Si votre clé gérée par le client reste inaccessible au service DynamoDB pendant plus de sept jours, la table est archivée et n'est plus accessible. DynamoDB crée une sauvegarde à la demande de votre table et vous êtes facturé pour cela. Vous pouvez utiliser cette sauvegarde à la demande pour restaurer vos données vers une nouvelle table. Pour lancer la restauration, la dernière clé gérée par le client sur la table doit être activée et DynamoDB doit y avoir accès.

  • Si la clé gérée par le client qui a été utilisée pour chiffrer un réplica de table globale est inaccessible, DynamoDB supprime ce réplica du groupe de réplication. Le réplica n'est pas supprimé et la réplication depuis et vers cette région s'arrête 20 heures après que l'inaccessibilité de la clé gérée par le client a été détectée.

Pour plus d'informations, consultez les sections Activation des clés et Suppression de clés.

Remarques sur l'utilisation Clés gérées par AWS

Amazon DynamoDB ne peut pas lire les données de votre table s'il n'a pas accès à la clé KMS enregistrée dans votre compte. AWS KMS DynamoDB utilise un chiffrement d'enveloppe et une hiérarchie de clés pour chiffrer les données. Votre clé de AWS KMS chiffrement est utilisée pour chiffrer la clé racine de cette hiérarchie de clés. Pour plus d'informations, consultez Chiffrement d'enveloppe dans le Guide du développeur AWS Key Management Service .

Vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes que DynamoDB envoie AWS KMS en votre nom. Pour plus d'informations, consultez Surveillance de l'interaction de DynamoDB avec AWS KMS dans le Guide du développeur AWS Key Management Service .

DynamoDB n'appelle pas AWS KMS toutes les opérations DynamoDB. La clé est actualisée toutes les 5 minutes par appelant dont le trafic est actif.

Assurez-vous d'avoir configuré le kit SDK pour réutiliser les connexions. Dans le cas contraire, DynamoDB devra rétablir de nouvelles entrées de AWS KMS cache pour chaque opération DynamoDB avec des latences. En outre, vous pourriez avoir à faire face à AWS KMS des CloudTrail coûts plus élevés. Par exemple, pour faire cela à l'aide du kit SDK Node.js, vous pouvez créer un agent HTTPS avec le paramètre keepAlive activé. Pour plus d'informations, consultez Configuration de keepAlive dans Node.js dans le Guide du développeurAWS SDK for JavaScript .