Chiffrement des données en transit - Amazon DocumentDB
Gestion des paramètres TLS d'un cluster

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des données en transit

Vous pouvez utiliser le protocole TLS (Transport Layer Security) pour chiffrer la connexion entre votre application et un cluster Amazon DocumentDB. Par défaut, le chiffrement en transit est activé pour les clusters Amazon DocumentDB nouvellement créés. Il peut éventuellement être désactivé lors de la création du cluster, ou ultérieurement. Lorsque le chiffrement en transit est activé, des connexions sécurisées à l'aide de TLS sont nécessaires pour se connecter au cluster. Pour plus d'informations sur la connexion à Amazon DocumentDB à l'aide de TLS, veuillez consulter Connexion par programmation à Amazon DocumentDB.

Gestion des paramètres TLS du cluster Amazon DocumentDB

Le chiffrement en transit pour un cluster Amazon DocumentDB est géré via le paramètre TLS dans un groupe de paramètres de cluster. Vous pouvez gérer les paramètres TLS de votre cluster Amazon DocumentDB à l'aide du AWS Management Console ou du AWS Command Line Interface ().AWS CLI Consultez les sections suivantes pour savoir comment vérifier et modifier vos paramètres TLS actuels.

Using the AWS Management Console

Suivez ces étapes pour effectuer des tâches de gestion du chiffrement TLS à l'aide de la console, telles que l'identification des groupes de paramètres, la vérification de la valeur TLS et les modifications nécessaires.

Note

À moins de le spécifier différemment lors de la création d’un cluster, votre cluster est créé avec le groupe de paramètres de cluster par défaut. Les paramètres du groupe de paramètres de cluster default ne peuvent pas être modifiés (par exemple, tls activé/désactivé). Par conséquent, si votre cluster utilise un groupe de paramètres de cluster default, vous devez modifier le cluster pour utiliser un groupe de paramètres de cluster autre que par défaut. Tout d'abord, vous allez peut-être devoir créer un groupe de paramètres de cluster personnalisé. Pour plus d’informations, consultez Création de groupes de paramètres de cluster Amazon DocumentDB.

  1. Déterminez le groupe de paramètres de cluster utilisé par votre cluster.

    1. Ouvrez la console Amazon DocumentDB à l'adresse https://console.aws.amazon.com/docdb.

    2. Dans le panneau de navigation, choisissez Clusters.

      Astuce

      Si vous ne voyez pas le volet de navigation sur le côté gauche de votre écran, choisissez l'icône de menu () dans le coin supérieur gauche de la page.

    3. Notez que dans la zone de navigation Clusters, la colonne Cluster Identifier indique à la fois les clusters et les instances. Les instances sont répertoriées sous les clusters. Voir la capture d'écran ci-dessous pour référence.

      Image de la boîte de navigation Clusters présentant une liste des liens de cluster existants et leurs liens d'instance correspondants.

    4. Choisissez le cluster qui vous intéresse.

    5. Choisissez l'onglet Configuration, faites défiler la page jusqu'en bas de la section Détails du cluster et localisez le groupe de paramètres du cluster. Notez le nom du groupe de paramètres de cluster.

      Si le nom du groupe de paramètres du cluster est default, par exemple default.docdb3.6, vous devez créer un groupe de paramètres de cluster personnalisé et le désigner groupe de paramètres du cluster avant de continuer. Pour plus d’informations, consultez les ressources suivantes :

      1. Création de groupes de paramètres de cluster Amazon DocumentDB— Si vous ne disposez pas d'un groupe de paramètres de cluster personnalisé que vous pouvez utiliser, créez-en un.

      2. Modification d'un cluster Amazon DocumentDB— Modifiez votre cluster pour utiliser le groupe de paramètres de cluster personnalisé.

  2. Déterminez la valeur actuelle du paramètre de cluster tls.

    1. Ouvrez la console Amazon DocumentDB à l'adresse https://console.aws.amazon.com/docdb.

    2. Dans le panneau de navigation, choisissez Groupes de paramètres.

    3. Dans la liste des groupes de paramètres de cluster, choisissez le nom du groupe qui vous intéresse.

    4. Recherchez la section Cluster parameters (Paramètres de cluster). Dans la liste des paramètres de cluster, recherchez la ligne de paramètre de cluster tls. À ce stade, les quatre colonnes suivantes sont importantes :

      • Nom du paramètre du cluster : nom des paramètres du cluster. Pour gérer TLS, intéressez-vous au paramètre de cluster tls.

      • Valeurs — La valeur actuelle de chaque paramètre de cluster.

      • Valeurs autorisées : liste de valeurs pouvant être appliquées à un paramètre de cluster.

      • Type d'application : statique ou dynamique. Les modifications apportées aux paramètres de cluster statiques ne peuvent être appliquées que lorsque les instances sont redémarrées. Les modifications apportées aux paramètres de cluster dynamiques peuvent être appliquées immédiatement ou lorsque les instances sont redémarrées.

  3. Modifiez la valeur du paramètre de cluster tls.

    Si la valeur de tls n'est pas la valeur requise, modifiez-la pour ce groupe de paramètres de cluster. Pour modifier la valeur du paramètre de cluster tls, continuez à partir de la section précédente en suivant les étapes ci-dessous.

    1. Choisissez le bouton à gauche du nom du paramètre de cluster (tls).

    2. Choisissez Modifier.

    3. Pour modifier la valeur detls, dans la boîte de tls dialogue Modifier, choisissez la valeur que vous souhaitez pour le paramètre de cluster dans la liste déroulante.

      Les valeurs valides sont :

      • désactivé — Désactive le protocole TLS

      • activé — Active le protocole TLS (versions 1.0, 1.1, 1.2 et 1.3)

      • fips-140-3 — Active le protocole TLS avec FIPS. Le cluster accepte uniquement les connexions sécurisées conformément aux exigences de la publication 140-3 des Federal Information Processing Standards (FIPS). Ceci n'est pris en charge qu'à partir des clusters Amazon DocumentDB 5.0 (moteur version 3.0.3727) dans les régions suivantes : ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west

      Image d'une boîte de dialogue de modification TLS spécifique au cluster.

    4. Choisissez Modifier le paramètre de cluster. La modification est appliquée à chaque instance de cluster lors de son redémarrage.

  4. Redémarrez l'instance Amazon DocumentDB.

    Redémarrez chaque instance du cluster de sorte que la modification s'applique à toutes les instances du cluster.

    1. Ouvrez la console Amazon DocumentDB à l'adresse https://console.aws.amazon.com/docdb.

    2. Dans le panneau de navigation, sélectionnez Instances.

    3. Pour spécifier une instance à redémarrer, recherchez celle-ci dans la liste des instances et choisissez le bouton à gauche de son nom.

    4. Choisissez Actions, puis Reboot (Redémarrer). Confirmez que vous souhaitez redémarrer en choisissant Reboot (Redémarrer).

Using the AWS CLI

Suivez ces étapes pour effectuer des tâches de gestion du chiffrement TLS à l'aide du, AWS CLI telles que l'identification des groupes de paramètres, la vérification de la valeur TLS et les modifications nécessaires.

Note

À moins de le spécifier différemment lors de la création d’un cluster, le cluster est créé avec le groupe de paramètres de cluster par défaut. Les paramètres du groupe de paramètres de cluster default ne peuvent pas être modifiés (par exemple, tls activé/désactivé). Par conséquent, si votre cluster utilise un groupe de paramètres de cluster default, vous devez modifier le cluster pour utiliser un groupe de paramètres de cluster autre que par défaut. Tout d'abord, vous allez peut-être devoir créer un groupe de paramètres de cluster personnalisé. Pour plus d’informations, consultez Création de groupes de paramètres de cluster Amazon DocumentDB.

  1. Déterminez le groupe de paramètres de cluster utilisé par votre cluster.

    Utilisez la commande describe-db-clusters avec les paramètres suivants :

    • --db-cluster-identifier — Obligatoire. Nom du cluster qui vous intéresse.

    • --query— Facultatif Requête qui limite la sortie aux seuls champs d'intérêt (dans ce cas, le nom du cluster et le nom du groupe de paramètres de cluster).

    aws docdb describe-db-clusters \
       --db-cluster-identifier docdb-2019-05-07-13-57-08 \
       --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'

    La sortie de cette opération ressemble à ceci (format JSON).

    [
       [
           "docdb-2019-05-07-13-57-08",
           "custom3-6-param-grp"
       ]
]

    Si le nom du groupe de paramètres du cluster est default, par exemple default.docdb3.6, vous devez disposer d'un groupe de paramètres de cluster personnalisé et le désigner groupe de paramètres du cluster avant de continuer. Pour plus d’informations, consultez les rubriques suivantes :

    1. Création de groupes de paramètres de cluster Amazon DocumentDB— Si vous ne disposez pas d'un groupe de paramètres de cluster personnalisé que vous pouvez utiliser, créez-en un.

    2. Modification d'un cluster Amazon DocumentDB— Modifiez votre cluster pour utiliser le groupe de paramètres de cluster personnalisé.

  2. Déterminez la valeur actuelle du paramètre de cluster tls.

    Pour obtenir plus d'informations sur ce groupe de paramètres de cluster, utilisez l'opération describe-db-cluster-parameters avec les paramètres suivants :

    • --db-cluster-parameter-group-name — Obligatoire. Utilisez le nom du groupe de paramètres de cluster à partir de la sortie de la commande précédente.

    • --query— Facultatif Une requête qui limite la sortie aux champs d'intérêt, dans ce cas, le ParameterName, ParameterValue, AllowedValues, et ApplyType.

    aws docdb describe-db-cluster-parameters \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'

    La sortie de cette opération ressemble à ceci (format JSON).

    [
    [
        "audit_logs",
        "disabled",
        "enabled,disabled",
        "dynamic"
    ],
    [
        "tls",
        "disabled",
        "disabled,enabled,fips-140-3",
        "static"
    ],
    [
        "ttl_monitor",
        "enabled",
        "disabled,enabled",
        "dynamic"
    ]
]

  3. Modifiez la valeur du paramètre de cluster tls.

    Si la valeur de tls n'est pas la valeur requise, modifiez-la pour ce groupe de paramètres de cluster. Pour modifier la valeur du paramètre de cluster tls, utilisez l'opération modify-db-cluster-parameter-group avec les paramètres suivants.

    • --db-cluster-parameter-group-name — Obligatoire. Nom du groupe de paramètres de cluster à modifier. Il ne peut pas s'agir d'un groupe de paramètres de cluster default.*.

    • --parameters — Obligatoire. Liste des paramètres du groupe de paramètres de cluster à modifier.

      • ParameterName — Obligatoire. Nom du paramètre de cluster à modifier.

      • ParameterValue — Obligatoire. Nouvelle valeur pour ce paramètre de cluster. Il doit s'agir de l'une des valeurs AllowedValues des paramètres de cluster.

        • enabled— Le cluster accepte uniquement les connexions sécurisées utilisant les versions TLS 1.0, 1.1, 1.2 ou 1.3.

        • disabled— Le cluster n'accepte pas les connexions sécurisées utilisant le protocole TLS.

        • fips-140-3— Le cluster accepte uniquement les connexions sécurisées conformément aux exigences de la publication 140-3 des Federal Information Processing Standards (FIPS). Ceci n'est pris en charge qu'à partir des clusters Amazon DocumentDB 5.0 (moteur version 3.0.3727) dans les régions suivantes : ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west

      • ApplyMethod— Quand cette modification doit être appliquée. Pour les paramètres de cluster statiques, tels que tle, cette valeur doit être pending-reboot.

        • pending-reboot— La modification n'est appliquée à une instance qu'après son redémarrage. Vous devez redémarrer chaque instance de cluster individuellement pour que cette modification soit appliquée sur l'ensemble des instances du cluster.

    Le code suivant désactive tls et applique la modification à chaque instance de base de données lorsqu'elle est redémarrée.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"

    Le code suivant permet tls (versions 1.0, 1.1. 1.2 et 1.3) d'appliquer la modification à chaque instance de base de données lors de son redémarrage.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"

    Le code suivant active TLS withfips-140-3, en appliquant la modification à chaque instance de base de données lors de son redémarrage.

    aws docdb modify-db-cluster-parameter-group \
    ‐‐db-cluster-parameter-group-name custom5-0-param-grp \
    ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"

    La sortie de cette opération ressemble à ceci (format JSON).

    {
    "DBClusterParameterGroupName": "custom3-6-param-grp"
}

  4. Redémarrez votre instance Amazon DocumentDB.

    Redémarrez chaque instance du cluster de sorte que la modification s'applique à toutes les instances du cluster. Pour redémarrer une instance Amazon DocumentDB, utilisez l'reboot-db-instanceopération avec le paramètre suivant :

    • --db-instance-identifier — Obligatoire. Identifiant de l'instance à redémarrer.

    Le code suivant redémarre l'instance sample-db-instance.

    Pour Linux, macOS ou Unix :

    aws docdb reboot-db-instance \
       --db-instance-identifier sample-db-instance

    Pour Windows :

    aws docdb reboot-db-instance ^
       --db-instance-identifier sample-db-instance

    La sortie de cette opération ressemble à ceci (format JSON).

    {
    "DBInstance": {
        "AutoMinorVersionUpgrade": true,
        "PubliclyAccessible": false,
        "PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
        "PendingModifiedValues": {},
        "DBInstanceStatus": "rebooting",
        "DBSubnetGroup": {
            "Subnets": [
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1a"
                    },
                    "SubnetIdentifier": "subnet-4e26d263"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1c"
                    },
                    "SubnetIdentifier": "subnet-afc329f4"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1e"
                    },
                    "SubnetIdentifier": "subnet-b3806e8f"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1d"
                    },
                    "SubnetIdentifier": "subnet-53ab3636"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1b"
                    },
                    "SubnetIdentifier": "subnet-991cb8d0"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1f"
                    },
                    "SubnetIdentifier": "subnet-29ab1025"
                }
            ],
            "SubnetGroupStatus": "Complete",
            "DBSubnetGroupDescription": "default",
            "VpcId": "vpc-91280df6",
            "DBSubnetGroupName": "default"
        },
        "PromotionTier": 2,
        "DBInstanceClass": "db.r5.4xlarge",
        "InstanceCreateTime": "2018-11-05T23:10:49.905Z",
        "PreferredBackupWindow": "00:00-00:30",
        "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
        "StorageEncrypted": true,
        "VpcSecurityGroups": [
            {
                "Status": "active",
                "VpcSecurityGroupId": "sg-77186e0d"
            }
        ],
        "EngineVersion": "3.6.0",
        "DbiResourceId": "db-SAMPLERESOURCEID",
        "DBInstanceIdentifier": "sample-cluster-instance-00",
        "Engine": "docdb",
        "AvailabilityZone": "us-east-1a",
        "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
        "BackupRetentionPeriod": 1,
        "Endpoint": {
            "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
            "Port": 27017,
            "HostedZoneId": "Z2R2ITUGPM61AM"
        },
        "DBClusterIdentifier": "sample-cluster"
    }
}

    Le redémarrage de votre instance prend quelques minutes. Vous pouvez uniquement utiliser l'instance lorsqu'elle présente le statut disponible. Vous pouvez surveiller l'état de l'instance en utilisant la console ou la AWS CLI. Pour plus d'informations, voir Surveillance de l'état d'une instance Amazon DocumentDB.