Bonnes pratiques de chiffrement pour Amazon DynamoDB - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de chiffrement pour Amazon DynamoDB

Amazon DynamoDB est un service de base de données NoSQL entièrement géré, offrant des performances rapides, prévisibles et évolutives. Le chiffrement au repos de DynamoDB sécurise les données dans une table chiffrée incluant une clé primaire, des index secondaires locaux et globaux, des flux, des tables globales, des sauvegardes et des clusters DynamoDB Accelerator (DAX) chaque fois que les données sont stockées sur un support durable.

Conformément aux exigences de classification des données, la confidentialité et l'intégrité des données peuvent être préservées en implémentant un chiffrement côté serveur ou côté client :

Pour le chiffrement côté serveur, lorsque vous créez une table, vous pouvez utiliser AWS KMS keys pour chiffrer la table. Vous pouvez utiliser des clés AWS détenues, des clés AWS gérées ou des clés gérées par le client. Nous vous recommandons d'utiliser des clés gérées par le client, car votre organisation en a le contrôle total, et lorsque vous spécifiez ce type de clé, la clé de chiffrement au niveau de la table, la table DynamoDB, les index secondaires locaux et globaux, ainsi que les flux sont chiffrés avec la même clé. Pour plus d'informations sur ces types de clés, consultez la section Clés et AWS clés clients.

Note

Vous pouvez basculer entre une clé AWS détenue, une clé AWS gérée et une clé gérée par le client à tout moment.

Pour le chiffrement côté client et end-to-end la protection des données, à la fois au repos et en transit, vous pouvez utiliser le client de chiffrement Amazon DynamoDB. Outre le chiffrement, qui protège la confidentialité de la valeur de l'attribut de l'élément, le client de chiffrement DynamoDB signe l'élément. Cela fournit une protection de l'intégrité en permettant de détecter les modifications non autorisées apportées à l'élément, y compris l'ajout ou la suppression d'attributs, ou le remplacement d'une valeur chiffrée par une autre.

Tenez compte des bonnes pratiques de chiffrement suivantes pour ce service :

  • Limitez les autorisations permettant de désactiver ou de planifier la suppression de la clé uniquement aux personnes qui doivent effectuer ces tâches. Ces états empêchent tous les utilisateurs et le service DynamoDB de chiffrer ou déchiffrer des données, ainsi que d'effectuer des opérations de lecture et d'écriture sur la table.

  • DynamoDB chiffre les données en transit à l'aide du protocole HTTPS par défaut, mais des contrôles de sécurité supplémentaires sont recommandés. Vous pouvez utiliser les options suivantes :

    • AWS Site-to-Site VPN connexion utilisée IPsec pour le chiffrement.

    • AWS Direct Connect connexion pour établir une connexion privée.

    • AWS Direct Connect connexion avec AWS Site-to-Site VPN connexion pour une IPsec connexion privée cryptée.

    • Si vous n'avez besoin d'accéder à DynamoDB qu'à partir d'un cloud privé virtuel (VPC), vous pouvez utiliser un point de terminaison de passerelle VPC pour limiter l'accès uniquement à partir du VPC requis. Cela empêche le trafic de passer par l'Internet public.

  • Si vous utilisez des points de terminaison d'un VPC, limitez les politiques de point de terminaison et les politiques IAM associées au point de terminaison aux utilisateurs, ressources et services autorisés. Pour plus d'informations, veuillez consulter Contrôle de l'accès à l'aide de politiques IAM et Utilisation des politiques de point de terminaison pour contrôler l'accès à des points de terminaison d'un VPC.

  • Vous pouvez implémenter le chiffrement des données au niveau des colonnes au niveau de l'application pour les données nécessitant un chiffrement, conformément à votre politique de chiffrement.

  • Configurez les clusters DAX pour chiffrer les données au repos, telles que les données du cache, les données de configuration et les fichiers journaux, au moment de la configuration du cluster. Vous ne pouvez pas activer le chiffrement au repos sur un cluster existant. Ce chiffrement côté serveur permet de protéger les données contre tout accès non autorisé via le stockage sous-jacent. Le chiffrement DAX au repos s'intègre automatiquement à AWS KMS pour gérer la clé par défaut à service unique utilisée pour chiffrer les clusters. Si aucune clé de service par défaut n'existe lors de la création d'un cluster DAX chiffré, une nouvelle clé AWS gérée est AWS KMS automatiquement créée. Pour plus d'informations, veuillez consulter Chiffrement au repos DAX.

    Note

    Les clés gérées par le client ne peuvent pas être utilisées avec les clusters DAX.

  • Configurez les clusters DAX pour chiffrer les données en transit au moment de la configuration du cluster. Vous ne pouvez pas activer le chiffrement en transit sur un cluster existant. DAX utilise le protocole TLS pour chiffrer les demandes et les réponses entre l'application et le cluster, et il utilise le certificat x509 du cluster pour authentifier l'identité du cluster. Pour plus d'informations, veuillez consulter Chiffrement DAX en transit.

  • Dans AWS Config, implémentez la règle dax-encryption-enabled AWS gérée pour valider et maintenir le chiffrement des clusters DAX.