Chiffrement au repos dans MemoryDB - Amazon MemoryDB
Utilisation de clés gérées par le client à partir de AWS KMSconsultez aussi

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos dans MemoryDB

Pour garantir la sécurité de vos données, MemoryDB et Amazon S3 proposent différentes méthodes pour restreindre l'accès aux données de vos clusters. Pour plus d’informations, consultez MemoryDB et Amazon VPC et Amazon VPC et Gestion des identités et des accès dans MemoryDB.

Le chiffrement au repos de MemoryDB est toujours activé pour renforcer la sécurité des données en chiffrant les données persistantes. Il chiffre les aspects suivants :

  • Données du journal des transactions

  • Disque pendant les opérations de synchronisation, de capture d'écran et de swap

  • Instantanés stockés dans Amazon S3

MemoryDB propose un chiffrement par défaut (géré par le service) au repos, ainsi que la possibilité d'utiliser vos propres clés racine symétriques gérées par le client dans le service de gestion des AWS clés (KMS).

Les données stockées sur des SSD (disques SSD) dans des clusters compatibles avec la hiérarchisation des données sont toujours chiffrées par défaut.

Pour plus d'informations sur le chiffrement en transit, veuillez consulter Chiffrement en transit (TLS) dans MemoryDB.

Utilisation de clés gérées par le client à partir de AWS KMS

MemoryDB prend en charge les clés racines symétriques gérées par le client (clé KMS) pour le chiffrement au repos. Les clés KMS gérées par le client sont des clés de chiffrement que vous créez, détenez et gérez dans votre AWS compte. Pour plus d'informations, consultez la section Customer Root Keys dans le Guide du développeur du service de gestion des AWS clés. Les clés doivent être créées dans AWS KMS avant de pouvoir être utilisées avec MemoryDB.

Pour savoir comment créer des clés racines AWS KMS, consultez la section Création de clés dans le guide du développeur du service de gestion des AWS clés.

MemoryDB vous permet de vous intégrer à KMS. AWS Pour plus d'informations, veuillez consulter Utilisation d'octrois dans le Guide du développeur AWS Key Management Service. Aucune action du client n'est requise pour activer l'intégration de MemoryDB avec AWS KMS.

La clé de kms:ViaService condition limite l'utilisation d'une clé AWS KMS aux demandes provenant de AWS services spécifiques. À utiliser kms:ViaService avec MemoryDB, incluez les deux ViaService noms dans la valeur de la clé de condition :. memorydb.amazon_region.amazonaws.com Pour plus d'informations, voir kms : ViaService.

Vous pouvez l'utiliser AWS CloudTrailpour suivre les demandes que MemoryDB envoie en votre AWS Key Management Service nom. Tous les appels d'API AWS Key Management Service liés aux clés gérées par le client ont CloudTrail des journaux correspondants. Vous pouvez également voir les autorisations créées par MemoryDB en appelant l'appel d'API ListGrantsKMS.

Une fois qu'un cluster est chiffré à l'aide d'une clé gérée par le client, tous les instantanés du cluster sont chiffrés comme suit :

  • Les instantanés quotidiens automatiques sont chiffrés à l'aide de la clé gérée par le client associée au cluster.

  • L'instantané final créé lorsque le cluster est supprimé est également chiffré à l'aide de la clé gérée par le client associée au cluster.

  • Les instantanés créés manuellement sont chiffrés par défaut pour utiliser la clé KMS associée au cluster. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

  • La copie d'un instantané utilise par défaut la clé gérée par le client associée à l'instantané source. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

Note

  • Les clés gérées par le client ne peuvent pas être utilisées lors de l'exportation d'instantanés vers le compartiment Amazon S3 que vous avez sélectionné. Cependant, tous les instantanés exportés vers Amazon S3 sont chiffrés à l'aide du chiffrement côté serveur. Vous pouvez choisir de copier le fichier instantané sur un nouvel objet S3 et de le chiffrer à l'aide d'une clé KMS gérée par le client, de copier le fichier dans un autre compartiment S3 configuré avec le chiffrement par défaut à l'aide d'une clé KMS ou de modifier une option de chiffrement dans le fichier lui-même.

  • Vous pouvez également utiliser des clés gérées par le client pour chiffrer des instantanés créés manuellement qui n'utilisent pas de clés gérées par le client pour le chiffrement. Avec cette option, le fichier de capture enregistré dans Amazon S3 est chiffré à l'aide d'une clé KMS, même si les données ne sont pas chiffrées sur le cluster d'origine.

La restauration à partir d'un instantané vous permet de choisir parmi les options de chiffrement disponibles, à l'instar des options de chiffrement disponibles lors de la création d'un nouveau cluster.

  • Si vous supprimez la clé ou si vous la désactivez et que vous révoquez les autorisations relatives à la clé que vous avez utilisée pour chiffrer un cluster, celui-ci devient irrécupérable. En d'autres termes, il ne peut pas être modifié ou restauré après une panne matérielle. AWS KMS supprime les clés racines uniquement après une période d'attente d'au moins sept jours. Une fois la clé supprimée, vous pouvez utiliser une autre clé gérée par le client pour créer un instantané à des fins d'archivage.

  • La rotation automatique des clés préserve les propriétés de vos clés racines AWS KMS, de sorte que la rotation n'a aucun effet sur votre capacité à accéder à vos données MemoryDB. Les clusters MemoryDB chiffrés ne prennent pas en charge la rotation manuelle des clés, qui implique la création d'une nouvelle clé racine et la mise à jour des références à l'ancienne clé. Pour en savoir plus, consultez Rotating Customer root keys dans le Guide du développeur du service de gestion des AWS clés.

  • Le chiffrement d'un cluster MemoryDB à l'aide d'une clé KMS nécessite une autorisation par cluster. Cette subvention est utilisée pendant toute la durée de vie du cluster. En outre, une subvention par instantané est utilisée lors de la création de l'instantané. Cette subvention est retirée une fois le cliché créé.

  • Pour plus d'informations sur les autorisations et les limites AWS KMS, consultez la section Quotas du Guide du développeur du service de gestion des AWS clés.

consultez aussi