Fonctionnement du chiffrement au repos dans Amazon Keyspaces

Le chiffrement Amazon Keyspaces (pour Apache Cassandra) au repos chiffre vos données à l'aide de la norme Advanced Encryption Standard 256 bits (AES-256). Cela permet de sécuriser vos données contre tout accès non autorisé au stockage sous-jacent. Toutes les données clients figurant dans les tables Amazon Keyspaces sont cryptées au repos par défaut, et le chiffrement côté serveur est transparent, ce qui signifie qu'aucune modification des applications n'est requise.

Le chiffrement au repos s'intègre avec AWS Key Management Service (AWS KMS) pour la gestion de la clé de chiffrement utilisée pour chiffrer vos tables. Lorsque vous créez une table ou mettez à jour une table existante, vous pouvez choisir l'une des options AWS KMSclés suivantes :

• Clé détenue par AWS— Il s'agit du type de cryptage par défaut. La clé est détenue par Amazon Keyspaces (sans frais supplémentaires).

• Clé gérée par le client — Cette clé est créée, détenue et gérée par vous, et stockée dans votre compte. Vous disposez d'un contrôle total sur la clé gérée par le client (AWS KMSdes frais s'appliquent).

AWS KMSclé (clé KMS)

Le chiffrement au repos protège toutes vos données Amazon Keyspaces à l'aide d'uneAWS KMS clé. Par défaut, Amazon Keyspaces utilise une Clé détenue par AWS, c'est-à-dire une clé de chiffrement à locataires multiples créée et gérée dans un compte de service Amazon Keyspaces.

Vous pouvez toutefois chiffrer vos tables Amazon Keyspaces à l'aide d'une clé gérée par le client dans votreCompte AWS. Vous pouvez sélectionner une autre clé KMS pour chaque table dans un espace de clés. La clé KMS que vous sélectionnez pour une table est également utilisée pour chiffrer toutes ses métadonnées et les sauvegardes restaurables.

Vous sélectionnez la clé KMS pour une table lorsque vous créez ou mettez à jour la table. Vous pouvez modifier la clé KMS d'une table à tout moment, soit dans la console Amazon Keyspaces, soit en exécutant l'instruction ALTER TABLE. Le processus de changement de clé KMS est fluide et ne nécessite pas de temps d'arrêt ni de dégradation du service.

Hiérarchie de clés

Amazon Keyspaces utilise une hiérarchie de clés pour chiffrer les données. Dans cette hiérarchie de clés, la clé KMS est la clé racine. Il est utilisé pour chiffrer et déchiffrer la clé de chiffrement de table Amazon Keyspaces. La clé de chiffrement de table est utilisée pour crypter les clés de chiffrement utilisées en interne par Amazon Keyspaces pour chiffrer et déchiffrer les données lors des opérations de lecture et d'écriture.

Grâce à la hiérarchie des clés de chiffrement, vous pouvez modifier la clé KMS sans avoir à rechiffrer les données ni affecter les applications et les opérations de données en cours.

Clé de table

La clé de table Amazon Keyspaces est utilisée comme clé de chiffrement de clé. Amazon Keyspaces utilise la clé de table pour protéger les clés de chiffrement des données internes utilisées pour chiffrer les données stockées dans les tables, les fichiers journaux et les sauvegardes restaurables. Amazon Keyspaces génère une clé de chiffrement des données unique pour chaque structure sous-jacente dans une table. Toutefois, plusieurs lignes de table peuvent être protégées par la même clé de chiffrement des données.

Lorsque vous définissez la clé KMS pour la première fois sur une clé gérée par le client, une clé de données estAWS KMS générée. La clé deAWS KMS données fait référence à la clé de table dans Amazon Keyspaces.

Lorsque vous accédez à une table chiffrée, Amazon Keyspaces envoie une demande àAWS KMS afin de pouvoir utiliser la clé KMS pour déchiffrer la clé de table. Il utilise ensuite la clé de table en texte brut pour déchiffrer les clés de chiffrement des données Amazon Keyspaces, et il utilise les clés de chiffrement de données en texte brut pour déchiffrer les données de la table.

Amazon Keyspaces utilise et stocke la clé de table et les clés de chiffrement des données en dehors deAWS KMS. Il protège toutes les clés avec les clés de chiffrement Advanced Encryption Standard (AES) et 256 bits. Ensuite, il stocke les clés cryptées avec les données cryptées afin qu'elles soient disponibles pour déchiffrer les données de la table à la demande.

Mise en cache des clés de table

Pour éviter d'appelerAWS KMS pour chaque opération Amazon Keyspaces, Amazon Keyspaces met en cache les clés de table en texte brut pour chaque connexion en mémoire. Si Amazon Keyspaces obtient une demande pour la clé de table mise en cache après cinq minutes d'inactivité, il envoie une nouvelle demandeAWS KMS à pour déchiffrer la clé de table. Cet appel capture les modifications apportées aux politiques d'accès de la clé KMS dansAWS KMS ouAWS Identity and Access Management (IAM) depuis la dernière demande de déchiffrement de la clé de table.

Chiffrement d'enveloppe

Si vous modifiez la clé gérée par le client pour votre table, Amazon Keyspaces génère une nouvelle clé de table. Il utilise ensuite la nouvelle clé de table pour rechiffrer les clés de chiffrement des données. Il utilise également la nouvelle clé de table pour crypter les clés de table précédentes utilisées pour protéger les sauvegardes restaurables. Ce processus est appelé chiffrement d'enveloppe. Cela garantit que vous pouvez accéder à des sauvegardes restaurables même si vous effectuez une rotation de la clé gérée par le client. Pour plus d'informations sur le chiffrement d'enveloppe, consultez Chiffrement d'enveloppe dans le Guide duAWS Key Management Service développeur.

AWSclés possédées

Clés détenues par AWSne sont pas stockés dans votreCompte AWS. Elles font partie d'une collection de clés KMS qu'AWSpossède et gère pour une utilisation dans plusieurs comptesComptes AWS. AWSles services peuvent être utilisésClés détenues par AWS pour protéger vos données.

Vous ne pouvez pas afficher, gérer ou utiliser lesClés détenues par AWS clés, ou vérifier leur utilisation. Toutefois, vous n'avez pas besoin de travailler ou de modifier les programmes pour protéger les clés qui chiffrent vos données.

Les clés n'occasionnent aucuns frais mensuels ou d'utilisationClés détenues par AWS, et ne sont pas prises en compte dans le calculAWS KMS des quotas pour votre compte.

Clés gérées par le client

Les clés gérées par le client sont des clés de votreCompte AWS que vous créez, possédez et gérez. Vous disposez d'un contrôle total sur ces clés KMS.

Utilisez une clé gérée par le client pour obtenir les fonctions suivantes.

• Vous créez et gérez la clé gérée par le client, y compris la définition et la mise à jour des politiques clés, des politiques IAM et des autorisations pour contrôler l'accès à la clé gérée par le client. Vous pouvez activer et désactiver la clé gérée par le client, activer et désactiver la rotation automatique des clés, et planifier la suppression de la clé gérée par le client lorsqu'elle n'est plus utilisée. Vous pouvez créer des balises et des alias pour les clés gérées par le client que vous gérez.

• Vous pouvez utiliser une clé gérée par le client avec un élément de clé importé ou dans un magasin de clés personnalisé que vous possédez et gérez.

• Vous pouvez utiliserAWS CloudTrail et Amazon CloudWatch Logs pour effectuer le suivi des demandes que Amazon Keyspaces envoie pourAWS KMS vous à. Pour plus d'informations, veuillez consulter Étape 6 : Configurer la surveillance avecAWS CloudTrail.

Les clés gérées par le client sont facturées pour chaque appel d'API, etAWS KMS des quotas s'appliquent à ces clés KMS. Pour plus d'informations, consultez la section Quotas AWS KMSdes ressources ou des demandes.

Lorsque vous spécifiez une clé gérée par le client comme clé de chiffrement de base pour une table, les sauvegardes restaurables sont chiffrées avec la même clé que celle spécifiée pour la table au moment de leur création. Si la clé KMS de la table est pivotée, la mise en enveloppe des clés garantit que la dernière clé KMS a accès à toutes les sauvegardes restaurables.

Amazon Keyspaces doit avoir accès à votre clé gérée par le client pour vous permettre d'accéder aux données de votre table. Si l'état de la clé de chiffrement est désactivé ou si sa suppression est planifiée, Amazon Keyspaces ne sera pas en mesure de chiffrer ou de déchiffrer les données. Par conséquent, vous n'êtes pas en mesure d'effectuer des opérations de lecture et d'écriture sur la table. Dès que le service détecte que votre clé de chiffrement est inaccessible, Amazon Keyspaces envoie une notification par e-mail pour vous alerter.

Vous devez rétablir l'accès à votre clé de chiffrement dans les sept jours, faute de quoi Amazon Keyspaces supprimera automatiquement votre table. Par mesure de précaution, Amazon Keyspaces crée une sauvegarde restaurable des données de votre table avant de supprimer la table. Amazon Keyspaces conserve la sauvegarde restaurable pendant 35 jours. Après 35 jours, vous ne pouvez plus restaurer les données de votre table. La sauvegarde restaurable ne vous est pas facturée, mais des frais de restauration standard s'appliquent.

Vous pouvez utiliser cette sauvegarde restaurable pour restaurer vos données vers une nouvelle table. Pour lancer la restauration, la dernière clé gérée par le client utilisée pour la table doit être activée et Amazon Keyspaces doit y avoir accès.

Note

Lorsque vous créez une table cryptée à l'aide d'une clé gérée par le client qui est inaccessible ou dont la suppression est planifiée avant la fin du processus de création, une erreur se produit. L'opération de création de table échoue et vous recevez une notification par e-mail.

Notes d'utilisation du chiffrement au repos

Lorsque vous utilisez un chiffrement au repos dans Amazon Keyspaces, tenez compte des considérations suivantes.

• Le chiffrement au repos côté serveur est activé sur toutes les tables Amazon Keyspaces et ne peut pas être désactivé. La table entière est cryptée au repos, vous ne pouvez pas sélectionner de colonnes ou de lignes spécifiques pour le chiffrement.

• Par défaut, Amazon Keyspaces utilise une clé par défaut à service unique (Clé détenue par AWS) pour crypter toutes vos tables. Si cette clé n'existe pas, elle est créée pour vous. Les clés par défaut du service ne peuvent pas être désactivées.

• Le chiffrement au repos ne chiffre les données que lorsqu'elles sont statiques (au repos) sur un support de stockage persistant. Si la sécurité des données est un élément important pour les données en transit ou en cours d'utilisation, vous devez prendre des mesures supplémentaires :

  • Données en transit : toutes vos données dans Amazon Keyspaces sont chiffrées en transit. Par défaut, les communications avec Amazon Keyspaces sont protégées à l'aide du chiffrement Secure Sockets Layer (SSL) /Transport Layer Security (TLS).

  • Données en cours d'utilisation : protégez vos données avant de les envoyer à Amazon Keyspaces à l'aide d'un chiffrement côté client.

  • Clés gérées par le client : les données stockées dans vos tables sont toujours cryptées à l'aide de vos clés gérées par le client. Toutefois, les opérations qui effectuent des mises à jour atomiques de plusieurs lignes cryptent les données temporairement utiliséesClés détenues par AWS pendant le traitement. Cela inclut les opérations de suppression de plages et les opérations qui accèdent simultanément à des données statiques et non statiques.

• Une seule clé gérée par le client peut avoir jusqu'à 50 000 autorisations. Chaque table Amazon Keyspaces associée à une clé gérée par le client nécessite 2 autorisations. Une subvention est accordée lorsque la table est supprimée. La seconde subvention est utilisée pour créer un instantané automatique du tableau afin de se protéger contre la perte de données au cas où Amazon Keyspaces perdrait involontairement l'accès à la clé gérée par le client. Cette autorisation est accordée 42 jours après la suppression de la table.