Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des données au repos pour les clusters élastiques Amazon DocumentDB
Les rubriques suivantes vous aident à découvrir, à créer et à surveiller les clés de AWS Key Management Service chiffrement pour les clusters élastiques Amazon DocumentDB :
Rubriques
Les clusters élastiques Amazon DocumentDB s'intègrent automatiquement à AWS Key Management Service (AWS KMS) pour la gestion des clés et utilisent une méthode connue sous le nom de chiffrement d'enveloppe pour protéger vos données. Pour plus d’informations sur le chiffrement d’enveloppe, consultez Chiffrement d’enveloppe dans le Guide du développeur AWS Key Management Service .
An AWS KMS key est une représentation logique d'une clé. La clé KMS inclut des métadonnées, telles que l'ID de clé, la date de création, la description et l'état de la clé. La clé KMS contient également les éléments de clé utilisés pour chiffrer et déchiffrer les données. Pour plus d'informations sur les clés KMS, consultez AWS KMS keys dans le Guide du développeur AWS Key Management Service .
Les clusters élastiques Amazon DocumentDB prennent en charge le chiffrement à l'aide de deux types de clés :
AWS clés détenues : les clusters élastiques Amazon DocumentDB utilisent ces clés par défaut pour chiffrer automatiquement les données personnelles identifiables. Vous ne pouvez pas afficher, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n'avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d’informations, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service .
Clés gérées par le client : clés symétriques AWS KMS keys que vous créez, détenez et gérez. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
Établissement et gestion des stratégies de clé
Établissement et gestion des politiques IAM et des octrois
Activation et désactivation des stratégies de clé
Rotation des matériaux de chiffrement de clé
Ajout de balises
Création d'alias de clé
Planification des clés pour la suppression
Pour plus d'informations, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service (langue française non garantie).
Important
Vous devez utiliser une clé KMS de chiffrement symétrique pour chiffrer votre cluster car Amazon DocumentDB ne prend en charge que les clés KMS de chiffrement symétriques. N'utilisez pas de clé KMS asymétrique pour tenter de chiffrer les données de vos clusters élastiques Amazon DocumentDB. Pour plus d'informations, consultez la section Clés asymétriques AWS KMS dans le guide du AWS Key Management Service développeur.
Si Amazon DocumentDB ne peut plus accéder à la clé de chiffrement d'un cluster, par exemple, lorsque l'accès à une clé est révoqué, le cluster chiffré passe à l'état terminal. Dans ce cas, vous pouvez uniquement restaurer le cluster à partir d'une sauvegarde. Pour Amazon DocumentDB, les sauvegardes sont toujours activées pendant 1 jour. En outre, si vous désactivez la clé d'un cluster Amazon DocumentDB chiffré, vous finirez par perdre l'accès en lecture et en écriture à ce cluster. Lorsqu'Amazon DocumentDB rencontre un cluster chiffré par une clé à laquelle il n'a pas accès, le cluster passe à l'état terminal. Dans cet état, le cluster n'est plus disponible et l'état actuel de la base de données ne peut pas être récupéré. Pour restaurer le cluster, vous devez réactiver l'accès à la clé de chiffrement pour Amazon DocumentDB, puis restaurer le cluster à partir d'une sauvegarde.
Important
Vous ne pouvez pas modifier la clé KMS d'un cluster chiffré une fois que vous l'avez déjà créé. Assurez-vous de déterminer vos exigences en matière de clé de chiffrement avant de créer votre cluster élastique chiffré.
Comment les clusters élastiques Amazon DocumentDB utilisent les subventions dans AWS KMS
Les clusters élastiques Amazon DocumentDB nécessitent une autorisation pour utiliser votre clé gérée par le client.
Lorsque vous créez un cluster chiffré avec une clé gérée par le client, les clusters élastiques Amazon DocumentDB créent une subvention en votre nom en envoyant une CreateGrant demande à. AWS KMS AWS KMS Les autorisations sont utilisées pour permettre aux clusters élastiques Amazon DocumentDB d'accéder à une clé KMS dans un compte client.
Les clusters élastiques Amazon DocumentDB nécessitent l'autorisation d'utiliser votre clé gérée par le client pour les opérations internes suivantes :
Envoyez
DescribeKeydes demandes AWS KMS à pour vérifier que l'ID de clé KMS symétrique géré par le client, saisi lors de la création d'un tracker ou d'une collection de géofences, est valide.Envoyez
GenerateDataKeydes demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client.Envoyez
Decryptdes demandes AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, les clusters élastiques Amazon DocumentDB ne pourront accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données.
Création d’une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client à l'aide de l'API AWS Management Console ou de l' AWS KMS API.
Création de clés symétrique gérée par le client
Suivez les étapes de la rubrique Création d'une clé symétrique gérée par le client dans le Guide du développeur AWS Key Management Service .
Stratégie de clé
Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez les informations d'accès aux clés KMS figurant dans la AWS Key Management Service présentation du guide du AWS Key Management Service développeur.
Pour utiliser votre clé gérée par le client avec les ressources du cluster élastique Amazon DocumentDB, les opérations d'API suivantes doivent être autorisées dans la politique relative aux clés :
kms:CreateGrant: ajoute une attribution à une clé gérée par le client. Accorde un accès de contrôle à une clé KMS spécifiée, ce qui permet d'accéder aux opérations d'octroi requises par Amazon Location Service. Pour plus d'informations sur l'utilisation des subventions, consultez la section Subventions AWS KMS dans le guide du AWS Key Management Service développeur.kms:DescribeKey— Fournit les informations relatives aux clés gérées par le client pour permettre à Docdb Elastic de valider la clé.kms:Decrypt— Permet à Docdb Elastic d'utiliser la clé de données cryptée stockée pour accéder aux données chiffrées.kms:GenerateDataKey— Permet à Docdb Elastic de générer une clé de données cryptée et de la stocker, car la clé de données n'est pas immédiatement utilisée pour chiffrer.
Pour plus d'informations, consultez les sections Autorisations relatives AWS aux services dans les politiques clés et Résolution des problèmes d'accès par clé dans le Guide du AWS Key Management Service développeur.
Restreindre l'accès aux clés géré par le client via des politiques IAM
Outre les politiques clés KMS, vous pouvez également restreindre les autorisations clés KMS dans une stratégie IAM.
Vous pouvez renforcer la politique IAM de différentes manières. Par exemple, pour autoriser l'utilisation de la clé gérée par le client uniquement pour les demandes provenant des clusters élastiques Amazon DocumentDB, vous pouvez utiliser la clé de kms:ViaService condition avec la docdb-elastic.<region-name>.amazonaws.com valeur.
Pour plus d’informations, consultez Autoriser des utilisateurs d’autres comptes à utiliser une clé KMS dans le Guide du développeur AWS Key Management Service .
Surveillance de vos clés de chiffrement pour les clusters élastiques Amazon DocumentDB
Lorsque vous utilisez une clé gérée par le AWS KMS key client avec vos ressources Docdb Elastic, vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes auxquelles Docdb Elastic envoie. AWS KMS
Les exemples suivants sont AWS CloudTrail des événements pourCreateGrant, GenerateDataKeyWithoutPlainTextDecrypt, et DescribeKey pour surveiller les AWS KMS key opérations appelées par les clusters élastiques Amazon DocumentDB afin d'accéder aux données chiffrées par votre clé gérée par le client :
En savoir plus
Les ressources suivantes fournissent des informations supplémentaires sur le chiffrement des données au repos :
Pour plus d'informations sur AWS KMS les concepts, consultez les concepts AWS Key Management Service de base dans le Guide du AWS Key Management Service développeur.
Pour plus d'informations sur AWS KMS la sécurité, consultez la section Bonnes pratiques en matière de sécurité AWS Key Management Service dans le guide du AWS Key Management Service développeur.
