Chiffrer les ressources Neptune au repos - Amazon Neptune

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrer les ressources Neptune au repos

Les instances chiffrées de Neptune fournissent une couche supplémentaire de protection des données en aidant à sécuriser vos données contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le chiffrement Neptune pour renforcer la protection des données de vos applications déployées dans le cloud. Vous pouvez également l'utiliser pour répondre aux exigences de conformité pour data-at-rest Chiffrement.

Pour gérer les clés utilisées pour chiffrer et déchiffrer vos ressources Neptune, vous utilisezAWS Key Management Service(AWS KMS).AWS KMScombine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion de clés à l'échelle du cloud. En utilisant AWS KMS, vous pouvez créer des clés de chiffrement et définir les stratégies qui contrôlent la manière dont ces clés peuvent être utilisées. AWS KMS prend en charge AWS CloudTrail, afin de vous permettre de vérifier que l'utilisation des clés est appropriée. Vous pouvez utiliser votreAWS KMStouches associées à Neptune et prises en chargeAWSdes services tels qu'Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS) et Amazon Redshift. Pour obtenir une liste des services qui prennent en charge AWS KMS, veuillez consulter la rubrique Comment les services AWS utilisent AWS KMS dans le Guide du développeur AWS Key Management Service.

Tous les journaux, sauvegardes et instantanés sont tous chiffrés pour une instance chiffrée Neptune.

Activation du chiffrement pour une instance de base de données Neptune

Pour activer le chiffrement d'une nouvelle instance de base de données Neptune, sélectionnezOuidans leActiver le chiffrementsection sur la console Neptune. Pour plus d'informations sur la création d'une instance de base de données Neptune, consultezCréation d'un nouveau cluster de bases de données Neptune.

Lorsque vous créez une instance de base de données Neptune cryptée, vous pouvez également fournir leAWS KMSidentifiant de clé pour votre clé de chiffrement. Si vous ne spécifiez pas deAWS KMSidentifiant de clé, Neptune utilise votre clé de cryptage Amazon RDS par défaut (aws/rds) pour votre nouvelle instance de base de données Neptune.AWS KMScrée votre clé de chiffrement par défaut pour Neptune pour votreAWSCompte. VotreAWSle compte a une clé de chiffrement par défaut différente pour chaqueAWSRégion.

Après avoir créé une instance de base de données Neptune chiffrée, vous ne pouvez pas modifier la clé de chiffrement de cette instance. Vous devez donc prendre soin de déterminer vos besoins en termes de clés de chiffrement avant de créer votre instance de base de données Neptune chiffrée.

Vous pouvez utiliser l'Amazon Resource Name (ARN) d'une clé provenant d'un autre compte pour chiffrer une instance de base de données Neptune. Si vous créez une instance de base de données NeptuneAWScompte détenant le compteAWS KMSclé de chiffrement utilisée pour crypter cette nouvelle instance de base de données Neptune,AWS KMSl'identifiant de clé que vous transmettez peut être leAWS KMSalias de clé au lieu de l'ARN de la clé.

Important

Si Neptune perd l'accès à la clé de chiffrement d'une instance de base de données Neptune — par exemple, lorsque l'accès de Neptune à une clé est révoqué — l'instance de base de données chiffrée est placée dans un état de mise hors service et ne peut être restaurée qu'à partir d'une sauvegarde. Nous vous recommandons vivement de toujours activer les sauvegardes des instances chiffrées de NepTuneDB pour éviter de perdre des données chiffrées dans vos bases de données.

Autorisations clés nécessaires lors de l'activation du chiffrement

L'utilisateur ou le rôle IAM qui crée une instance de base de données Neptune cryptée doit disposer au moins des autorisations suivantes pour la clé KMS :

  • "kms:Encrypt"

  • "kms:Decrypt"

  • "kms:GenerateDataKey"

  • "kms:ReEncryptTo"

  • "kms:GenerateDataKeyWithoutPlaintext"

  • "kms:CreateGrant"

  • "kms:ReEncryptFrom"

  • "kms:DescribeKey"

Voici un exemple de politique clé qui inclut les autorisations nécessaires :

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable Permissions for root principal", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key for Neptune", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext", "kms:CreateGrant", "kms:ReEncryptFrom", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "rds.us-east-1.amazonaws.com" } } }, { "Sid": "Deny use of the key for non Neptune", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:role/NeptuneFullAccess" }, "Action": [ "kms:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "kms:ViaService": "rds.us-east-1.amazonaws.com" } } } ] }
  • La première déclaration de cette politique est facultative. Il donne accès au principal racine de l'utilisateur.

  • La deuxième déclaration donne accès à tous les éléments requisAWS KMSDes API pour ce rôle, limitées au RDS Service Principal.

  • La troisième déclaration renforce davantage la sécurité en faisant en sorte que cette clé n'est pas utilisable par ce rôle pour aucun autreAWSweb

Vous pouvez également définircreateGrantles autorisations sont plus bas en ajoutant :

"Condition": { "Bool": { "kms:GrantIsForAWSResource": true } }

Limites du chiffrement Neptune

Les limitations suivantes existent pour le chiffrement des clusters Neptune :

  • Vous ne pouvez pas convertir un cluster de bases de données non chiffrée vers un cluster chiffré.

    Toutefois, vous pouvez restaurer un instantané de cluster de base de données non chiffré dans un cluster de base de données chiffré. Pour ce faire, spécifiez une clé de chiffrement KMS lorsque vous procédez à la restauration à partir de l’instantané du cluster de base de données non chiffré.

  • Vous ne pouvez pas convertir une instance de base de données non chiffrée vers une instance chiffrée. Vous ne pouvez activer le chiffrement pour une instance de base de données que lorsque vous la créez.

  • De plus, les instances de base de données cryptées ne peuvent pas être modifiées pour désactiver le chiffrement.

  • Vous ne pouvez pas avoir un réplica en lecture chiffré d'une instance de base de données non chiffrée ni un réplica en lecture non chiffré d'une instance de base de données chiffrée.

  • Les réplicas en lecture chiffrés doivent être chiffrés avec la même clé que l'instance de base de données source.