Chiffrement des ressources Neptune au repos - Amazon Neptune
Activation du chiffrementAutorisations de clésLimites

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des ressources Neptune au repos

Les instances chiffrées Neptune fournissent une couche supplémentaire de protection des données en contribuant à sécuriser vos données contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le chiffrement Neptune pour renforcer la protection des données de vos applications déployées dans le cloud. Vous pouvez également l'utiliser pour satisfaire aux exigences de conformité en matière de data-at-rest chiffrement.

Pour gérer les clés utilisées pour chiffrer et déchiffrer vos ressources Neptune, vous utilisez ().AWS Key Management ServiceAWS KMS AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. À l'aide de AWS KMS, vous pouvez créer des clés de chiffrement et définir les politiques qui contrôlent la manière dont ces clés peuvent être utilisées. AWS KMS prend en charge AWS CloudTrail, afin que vous puissiez auditer l'utilisation des clés pour vérifier que les clés sont utilisées de manière appropriée. Vous pouvez utiliser vos AWS KMS clés en combinaison avec Neptune et les AWS services pris en charge tels qu'Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS) et Amazon Redshift. Pour obtenir la liste des services compatibles AWS KMS, consultez la section Comment les AWS services sont utilisés AWS KMS dans le guide du AWS Key Management Service développeur.

Tous les journaux, sauvegardes et instantanés sont chiffrés pour une instance chiffrée Neptune.

Activation du chiffrement pour une instance de base de données Neptune

Pour activer le chiffrement d'une nouvelle instance de base de données Neptune, choisissez Oui dans la section Activer le chiffrement de la console Neptune. Pour plus d'informations sur la création d'une instance de base de données Neptune, consultez Création d'un cluster Neptune.

Lorsque vous créez une instance de base de données Neptune chiffrée, vous pouvez également fournir l'identifiant de AWS KMS clé de votre clé de chiffrement. Si vous ne spécifiez aucun identifiant de AWS KMS clé, Neptune utilise votre clé de chiffrement Amazon RDS par défaut (aws/rds) pour votre nouvelle instance de base de données Neptune. AWS KMS crée votre clé de chiffrement par défaut pour Neptune pour votre AWS compte. Votre AWS compte possède une clé de chiffrement par défaut différente pour chaque AWS région.

Une fois que vous avez créé une instance de base de données Neptune chiffrée, vous ne pouvez pas en modifier la clé de chiffrement. Vous devez donc prendre soin de déterminer vos besoins en termes de clés de chiffrement avant de créer l'instance de base de données Neptune chiffrée.

Vous pouvez utiliser l'Amazon Resource Name (ARN) d'une clé issue d'un autre compte pour chiffrer une instance de base de données Neptune. Si vous créez une instance de base de données Neptune avec le même AWS compte qui possède la clé de AWS KMS chiffrement utilisée pour chiffrer cette nouvelle instance de base de données Neptune, l'ID de clé que vous transmettez peut être l'alias de AWS KMS clé au lieu de l' AWS KMS ARN de la clé.

Important

Si Neptune perd l'accès à la clé de chiffrement d'une instance de base de données Neptune (par exemple, lorsque l'accès Neptune à une clé est révoqué), l'instance de base de données chiffrée est placée dans un état terminal et peut être restaurée uniquement à partir d'une sauvegarde. Nous vous recommandons vivement de toujours activer les sauvegardes des instances de base de données Neptune chiffrées pour éviter de perdre des données chiffrées dans vos bases de données.

Autorisations de clés nécessaires pour activer le chiffrement

L'utilisateur ou le rôle IAM qui crée une instance de base de données Neptune chiffrée doit disposer au moins des autorisations suivantes pour la clé KMS :

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:GenerateDataKey"

  • "kms:ReEncryptTo"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:CreateGrant"

  • "kms:ReEncryptFrom"

  • "kms:DescribeKey"

Voici un exemple de stratégie de clé qui inclut les autorisations nécessaires :

{
  "Version": "2012-10-17",
  "Id": "key-consolepolicy-3",
  "Statement": [
    {
      "Sid": "Enable Permissions for root principal",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key for Neptune",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptTo",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:CreateGrant",
        "kms:ReEncryptFrom",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Deny use of the key for non Neptune",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

  • La première déclaration de cette politique est facultative. Elle donne accès au principal root de l'utilisateur.

  • La deuxième instruction donne accès à toutes les AWS KMS API requises pour ce rôle, jusqu'au principal du service RDS.

  • La troisième déclaration renforce davantage la sécurité en indiquant que cette clé n'est pas utilisable par ce rôle pour aucun autre AWS service.

Vous pouvez également réduire davantage les autorisations createGrant en ajoutant :

"Condition": {
  "Bool": {
    "kms:GrantIsForAWSResource": true
  }
}

Limites du chiffrement Neptune

Les limites suivantes s'appliquent au chiffrement des clusters :

  • Vous ne pouvez pas convertir un cluster de bases de données non chiffré en cluster chiffré.

    Toutefois, vous pouvez restaurer un instantané de cluster de bases de données non chiffré dans un cluster de bases de données chiffré. Pour ce faire, spécifiez une clé de chiffrement KMS lorsque vous procédez à la restauration à partir de l’instantané du cluster de bases de données non chiffré.

  • Vous ne pouvez pas convertir une instance de base de données non chiffrée en instance chiffrée. Vous pouvez uniquement activer le chiffrement d'une instance de base de données au moment de sa création.

  • Les instances de base de données qui sont chiffrées ne peuvent pas être modifiées dans le but de désactiver le chiffrement.

  • Vous ne pouvez pas avoir un réplica en lecture chiffré d'une instance de base de données non chiffrée ni un réplica en lecture non chiffré d'une instance de base de données chiffrée.

  • Les réplicas en lecture chiffrés doivent être chiffrés avec la même clé que l'instance de base de données source.