Chiffrer les ressources Neptune au repos - Amazon Neptune
Activation du chiffrementAutorisations clésLimites

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrer les ressources Neptune au repos

Les instances cryptées Neptune fournissent un niveau de protection des données supplémentaire en les protégeant contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le chiffrement Neptune pour améliorer la protection des données de vos applications qui sont déployées dans le cloud. Vous pouvez également l'utiliser pour répondre aux exigences de conformité pour data-at-rest chiffrement.

Pour gérer les clés utilisées pour chiffrer et déchiffrer vos ressources Neptune, vous utilisezAWS Key Management Service(AWS KMS).AWS KMSutilise du matériel et des logiciels sécurisés et à haute disponibilité pour fournir un système de gestion des clés adapté au cloud. En utilisant AWS KMS, vous pouvez créer des clés de chiffrement et définir les stratégies qui contrôlent la manière dont ces clés peuvent être utilisées. AWS KMS prend en charge AWS CloudTrail, afin de vous permettre de vérifier que l'utilisation des clés est appropriée. Vous pouvez utiliser votreAWS KMStouches en combinaison avec Neptune et prises en chargeAWSdes services tels qu'Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS) et Amazon Redshift. Pour obtenir une liste des services qui prennent en charge AWS KMS, veuillez consulter la rubrique Comment les services AWS utilisent AWS KMS dans le Guide du développeur AWS Key Management Service.

Tous les journaux, les sauvegardes et les instantanés sont chiffrés pour une instance cryptée Neptune.

Activation du chiffrement pour une instance de base de données Neptune

Pour activer le chiffrement d'une nouvelle instance de base de données Neptune, choisissezOuidans leActiver le chiffrementsection sur la console Neptune. Pour plus d'informations sur la création d'une instance d'approbation Neptune, voirCréation d'un nouveau cluster de base de données Neptune.

Lorsque vous créez une instance de base de données Neptune cryptée, vous pouvez également fournirAWS KMSidentifiant de clé pour votre clé de chiffrement. Si vous ne spécifiez pas deAWS KMSidentifiant de clé, Neptune utilise votre clé de chiffrement Amazon RDS par défaut (aws/rds) pour votre nouvelle instance de base de données Neptune.AWS KMScrée votre clé d'approbation par défaut pour Neptune pour votreAWScompte. VotreAWSle compte possède une clé d'approbation par défaut différente pour chacunAWSRégion.

Une fois que vous avez créé une instance de base de données Neptune chiffrée, vous ne pouvez pas modifier la clé de chiffrement de cette instance. Assurez-vous donc de déterminer vos exigences en matière de clé de chiffrement avant de créer votre instance de base de données Neptune cryptée.

Vous pouvez utiliser le Amazon Resource Name (ARN) d'une clé d'un autre compte pour chiffrer une instance de base de données Neptune. Si vous créez une instance de bases de données Neptune avec la mêmeAWScompte qui possède leAWS KMSclé de chiffrement utilisée pour chiffrer cette nouvelle instance de base de données Neptune, leAWS KMSl'identifiant de clé que vous transmettez peut être leAWS KMSalias de clé au lieu de l'ARN de la clé.

Important

Si Neptune perd l'accès à la clé de chiffrement d'une instance de base de données Neptune, par exemple, lorsque l'accès de Neptune à une clé est révoqué, l'instance de base de données cryptée est placée dans l'état d'un terminal et ne peut être restaurée qu'à partir d'une sauvegarde. Nous vous recommandons vivement de toujours activer les sauvegardes pour les instances de NeptuneDB afin de vous prémunir contre la perte de données chiffrées dans vos bases de données.

Autorisations clés nécessaires pour activer le chiffrement

L'utilisateur ou le rôle IAM qui crée une instance de base de données Neptune cryptée doit disposer au moins des autorisations suivantes pour la clé KMS :

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:GenerateDataKey"

  • "kms:ReEncryptTo"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:CreateGrant"

  • "kms:ReEncryptFrom"

  • "kms:DescribeKey"

Voici un exemple de politique clé qui inclut les autorisations nécessaires :

{
  "Version": "2012-10-17",
  "Id": "key-consolepolicy-3",
  "Statement": [
    {
      "Sid": "Enable Permissions for root principal",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key for Neptune",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:ReEncryptTo",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:CreateGrant",
        "kms:ReEncryptFrom",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Deny use of the key for non Neptune",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess"
      },
      "Action": [
        "kms:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "kms:ViaService": "rds.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

  • La première déclaration de cette politique est facultative. Il donne accès au principal root de l'utilisateur.

  • La deuxième déclaration donne accès à tous les éléments requisAWS KMSAPI pour ce rôle, limitées au principal du service RDS.

  • La troisième déclaration renforce davantage la sécurité en faisant valoir que cette clé n'est utilisable par ce rôle pour aucun autreAWSservice.

Vous pouvez également explorercreateGrantles autorisations sont encore plus basses en ajoutant :

"Condition": {
  "Bool": {
    "kms:GrantIsForAWSResource": true
  }
}

Limites du chiffrement Neptune

Les limites suivantes existent pour le chiffrement des clusters Neptune :

  • Vous ne pouvez pas convertir un cluster de base de données non chiffré en un cluster chiffré.

    Toutefois, vous pouvez restaurer un instantané de cluster de base de données non chiffré dans un cluster de base de données chiffré. Pour ce faire, spécifiez une clé de chiffrement KMS lorsque vous procédez à la restauration à partir de l’instantané du cluster de base de données non chiffré.

  • Vous ne pouvez pas convertir une instance de base de données non chiffrée en une instance de base de données cryptée. Vous pouvez activer le chiffrement pour une instance de base de données uniquement lorsque vous la créez.

  • En outre, les instances de base de données chiffrées ne peuvent pas être modifiées pour désactiver le chiffrement.

  • Vous ne pouvez pas avoir un réplica en lecture chiffré d'une instance de base de données non chiffrée ni un réplica en lecture non chiffré d'une instance de base de données chiffrée.

  • Les réplicas en lecture chiffrés doivent être chiffrés avec la même clé que l'instance de base de données source.