Le chiffrement des données est au repos pour Amazon DataZone

Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Dans le même temps, il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.

Amazon DataZone utilise des clés AWS détenues par défaut pour chiffrer automatiquement vos données au repos. Vous ne pouvez pas consulter, gérer ou auditer l'utilisation des clés AWS détenues. Pour plus d'informations, consultez la section Clés AWS détenues.

Bien que vous ne puissiez pas désactiver cette couche de chiffrement ou sélectionner un autre type de chiffrement, vous pouvez ajouter une deuxième couche de chiffrement aux clés de chiffrement AWS détenues existantes en choisissant une clé gérée par le client lorsque vous créez vos domaines Amazon DataZone . Amazon DataZone prend en charge l'utilisation de clés symétriques gérées par le client que vous pouvez créer, posséder et gérer afin d'ajouter une deuxième couche de chiffrement par rapport au chiffrement AWS détenu existant. Comme vous avez le contrôle total de cette couche de chiffrement, vous pouvez y effectuer les tâches suivantes :

• Établir et maintenir des politiques clés

• Établir et maintenir IAM des politiques et des subventions

• Activer et désactiver les politiques clés

• Faire pivoter le matériel cryptographique clé

• Ajout de balises

• Création d'alias clés

• Planifier la suppression des clés

Pour plus d'informations, consultez la section Clés gérées par le client.

Note

Amazon active DataZone automatiquement le chiffrement au repos à l'aide de clés AWS détenues pour protéger gratuitement les données des clients.

AWS KMSdes frais s'appliquent pour l'utilisation de clés gérées par le client. Pour plus d'informations sur la tarification, consultez la section Tarification des services de gestion des AWS clés.

Comment Amazon DataZone utilise les subventions dans AWS KMS

Amazon a DataZone besoin de trois autorisations pour utiliser votre clé gérée par le client. Lorsque vous créez un DataZone domaine Amazon chiffré à l'aide d'une clé gérée par le client, Amazon DataZone crée des subventions et des sous-subventions en votre nom en envoyant des CreateGrantdemandes à AWS KMS. Les subventions AWS KMS sont utilisées pour donner à Amazon DataZone l'accès à une KMS clé de votre compte. Amazon DataZone crée les autorisations suivantes pour utiliser votre clé gérée par le client pour les opérations internes suivantes :

Une autorisation pour le chiffrement de vos données au repos pour les opérations suivantes :

• Envoyez DescribeKeydes demandes AWS KMS à pour vérifier que l'ID de KMS clé symétrique géré par le client saisi lors de la création d'une collection de DataZone domaines Amazon est valide.

• Envoyez GenerateDataKeyrequests AWS KMSà pour générer des clés de données chiffrées par la clé gérée par votre client.

• Envoyez des demandes de déchiffrement AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.

• RetireGrantpour annuler la subvention lorsque le domaine est supprimé.

Deux subventions pour la recherche et la découverte de vos données :

• Subvention 2 :

  • DescribeKey

  • GenerateDataKey

  • Chiffrer, déchiffrer, ReEncrypt

  • CreateGrantpour créer des allocations familiales pour les AWS services utilisés en interne par DataZone.

  • RetireGrant

• Subvention 3 :

  • GenerateDataKey

  • Decrypt

  • RetireGrant

Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, Amazon DataZone ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous tentez d'obtenir les détails d'une ressource de données auxquels Amazon ne DataZone peut pas accéder, l'opération renverra une AccessDeniedException erreur.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client à l'aide de la console AWS de gestion ou du AWS KMSAPIs.

Pour créer une clé symétrique gérée par le client, suivez les étapes de création d'une clé symétrique gérée par le client dans le guide du développeur du service de gestion des AWS clés.

Politique clé : les politiques clés contrôlent l'accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Gestion de l'accès aux clés gérées par le client dans le Guide du développeur du service de gestion des AWS clés.

Pour utiliser votre clé gérée par le client avec vos DataZone ressources Amazon, les API opérations suivantes doivent être autorisées dans la politique relative aux clés :

• kms : CreateGrant — ajoute une autorisation à une clé gérée par le client. Accorde un accès de contrôle à une KMS clé spécifiée, ce qui permet d'accéder aux opérations de subvention DataZone requises par Amazon. Pour plus d'informations sur l'utilisation des subventions, consultez le guide du développeur du service de gestion des AWS clés.

• kms : DescribeKey — fournit les informations relatives aux clés gérées par le client pour permettre DataZone à Amazon de valider la clé.

• kms : GenerateDataKey — renvoie une clé de données symétrique unique à utiliser en dehors de AWS KMS.

• KMS:Decrypt — Déchiffre le texte chiffré par une clé. KMS

Voici des exemples de déclarations de politique que vous pouvez ajouter pour Amazon DataZone :

"Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to manage Amazon DataZone",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::<account_id>:root"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant", 
        "kms:GenerateDataKey", 
        "kms:Decrypt"
      ],
      "Resource" : "arn:aws:kms:region:<account_id>:key/key_ID",
    }
  ]
        

Note

Le refus de la KMS politique n'est pas appliqué aux ressources accessibles via le portail de DataZone données Amazon.

Pour plus d'informations sur la spécification des autorisations dans une politique, consultez le Guide du développeur du service de gestion des AWS clés.

Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez le Guide du développeur du service de gestion des AWS clés.

Spécifier une clé gérée par le client pour Amazon DataZone

Contexte DataZone de chiffrement Amazon

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.

AWS KMSutilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.

Amazon DataZone utilise le contexte de chiffrement suivant :

"encryptionContextSubset": {
    "aws:datazone:domainId": "{root-domain-uuid}"
}
        

Utilisation du contexte de chiffrement à des fins de surveillance : lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer Amazon DataZone, vous pouvez également utiliser le contexte de chiffrement dans les dossiers d'audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.

Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client : vous pouvez utiliser le contexte de chiffrement dans les politiques clés et IAM les politiques comme condition pour contrôler l'accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.

Amazon DataZone utilise une contrainte de contexte de chiffrement dans les autorisations afin de contrôler l'accès à la clé gérée par le client dans votre compte ou votre région. La contrainte d'octroi exige que les opérations autorisées par l'octroi utilisent le contexte de chiffrement spécifié.

Vous trouverez ci-dessous des exemples de déclarations de stratégie de clé permettant d'accorder l'accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette déclaration de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},{
    "Sid": "Enable Decrypt, GenerateDataKey",
     "Effect": "Allow",
     "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
     ],
     "Resource": "*",
     "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:datazone:domainId": "{root-domain-uuid}"
        }
    }
}
        

Surveillance de vos clés de chiffrement pour Amazon DataZone

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos DataZone ressources Amazon, vous pouvez l'utiliser AWS CloudTrailpour suivre les demandes DataZone envoyées par Amazon AWS KMS. Les exemples suivants sont AWS CloudTrail des événements destinés àCreateGrant, GenerateDataKeyDecrypt, et DescribeKey à surveiller les KMS opérations effectuées par Amazon DataZone pour accéder aux données chiffrées par votre clé gérée par le client. Lorsque vous utilisez une clé gérée par le AWS KMS client pour chiffrer votre DataZone domaine Amazon, Amazon DataZone envoie une CreateGrant demande en votre nom pour accéder à la KMS clé de votre AWS compte. Les subventions DataZone créées par Amazon sont spécifiques à la ressource associée à la clé gérée par le AWS KMS client. En outre, Amazon DataZone utilise cette RetireGrant opération pour supprimer une autorisation lorsque vous supprimez un domaine. L'exemple d'événement suivant enregistre l'opération CreateGrant :

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:datazone:domainId": "SAMPLE-root-domain-uuid"
            }
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "operations": [
            "Decrypt",
            "GenerateDataKey",
            "RetireGrant",
            "DescribeKey"
        ],
        "granteePrincipal": "datazone.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}
        

Création d'environnements Data Lake impliquant des catalogues AWS Glue cryptés

Dans les cas d'utilisation avancés, lorsque vous travaillez avec un catalogue AWS Glue crypté, vous devez autoriser l'accès au DataZone service Amazon pour utiliser votre clé gérée par le clientKMS. Vous pouvez le faire en mettant à jour votre KMS politique personnalisée et en ajoutant un tag à la clé. Pour autoriser l'accès au DataZone service Amazon afin de travailler avec les données d'un catalogue AWS Glue crypté, procédez comme suit :

• Ajoutez la politique suivante à votre KMS clé personnalisée. Consultez Modification d'une stratégie de clé pour de plus amples informations.

  
  {
    "Sid": "Allow datazone environment roles to use the key",
    "Effect": "Allow",
    "Principal": {
      "AWS": "*"
    },
    "Action": [
      "kms:Decrypt",
      "kms:Describe*",
      "kms:Get*"
    ],
    "Resource": "*",
    "Condition": {
      "StringLike": {
        "aws:PrincipalArn": "arn:aws:iam::*:role/*datazone_usr*"
      }
    }
  }
              

• Ajoutez la balise suivante à votre KMS clé personnalisée. Pour plus d'informations, consultez la section Utilisation de balises pour contrôler l'accès aux KMS clés.

  
  key: AmazonDataZoneEnvironment
  value: all