Bonnes pratiques de chiffrement pour Amazon RDS - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de chiffrement pour Amazon RDS

Amazon Relational Database Service (Amazon RDS) vous aide à configurer, exploiter et mettre à l'échelle une base de données relationnelle dans le AWS Cloud. Les données qui sont chiffrées au repos incluent le stockage sous-jacent pour des instances de base de données, les sauvegardes automatisées, les réplicas en lecture et les instantanés.

Voici les approches que vous pouvez utiliser pour chiffrer les données au repos dans les instances de base de données RDS :

  • Vous pouvez chiffrer les instances de base de données Amazon RDS à l'aide AWS KMS keys d'une clé AWS gérée ou d'une clé gérée par le client. Pour plus d’informations, consultez AWS Key Management Service dans ce guide.

  • Amazon RDS for Oracle et Amazon RDS for SQL Server prennent en charge le chiffrement d'instances de base de données à l'aide du chiffrement TDE (Transparent Data Encryption). Pour plus d'informations, veuillez consulter Oracle Transparent Data Encryption ou Prise en charge de Transparent Data Encryption dans SQL Server.

    Vous pouvez utiliser les clés TDE et KMS pour chiffrer les instances de base de données. Toutefois, cela peut affecter légèrement les performances de votre base de données, et vous devez gérer ces clés séparément.

Voici les approches que vous pouvez utiliser pour chiffrer les données en transit vers ou depuis les instances de base de données RDS :

  • Pour une instance de base de données Amazon RDS exécutant MariaDB, Microsoft SQL Server, MySQL, Oracle ou PostgreSQL, vous pouvez utiliser le protocole SSL pour chiffrer la connexion. Pour plus d'informations, consultez Utilisation SSL/TLS pour chiffrer une connexion à une instance de base de données.

  • Amazon RDS for Oracle prend également en charge Oracle Native Network Encryption (NNE), qui chiffre les données lors de leur déplacement vers ou depuis une instance de base de données. Les chiffrements NNE et SSL ne peuvent pas être utilisés simultanément. Pour plus d'informations, consultez Chiffrement du réseau natif Oracle.

Tenez compte des bonnes pratiques de chiffrement suivantes pour ce service :

  • Lorsque vous vous connectez à des instances de base de données Amazon RDS for SQL Server ou Amazon RDS for PostgreSQL afin de traiter, de stocker ou de transmettre des données nécessitant un chiffrement, utilisez la fonctionnalité RDS Transport Encryption pour chiffrer la connexion. Vous pouvez implémenter cela en définissant le paramètre rds.force_ssl sur 1 dans le groupe de paramètres. Pour plus d'informations, veuillez consulter Utilisation des groupes de paramètres. Amazon RDS for Oracle utilise le chiffrement de réseau natif de la base de données Oracle.

  • Les clés gérées par le client pour le chiffrement d'instances de base de données RDS doivent être utilisées uniquement à cette fin et avec aucun autre Services AWS.

  • Avant de chiffrer une instance de base de données RDS, définissez les exigences relatives aux clés KMS. La clé utilisée par l'instance ne peut pas être modifiée ultérieurement. Par exemple, dans votre politique de chiffrement, définissez les normes d'utilisation et de gestion des clés AWS gérées ou des clés gérées par le client, en fonction des besoins de votre entreprise.

  • Lorsque vous autorisez l'accès à une clé KMS gérée par le client, respectez le principe du moindre privilège en utilisant des clés de condition dans les politiques IAM. Par exemple, pour autoriser l'utilisation d'une clé gérée par le client uniquement pour les demandes provenant d'Amazon RDS, utilisez la clé de ViaService condition kms : avec la rds.<region>.amazonaws.com valeur. En outre, vous pouvez utiliser des clés ou des valeurs dans le contexte de chiffrement Amazon RDS comme condition d'utilisation de la clé gérée par le client.

  • Il est vivement recommandé d'activer les sauvegardes pour les instances de base de données RDS chiffrées. Amazon RDS peut perdre l'accès à la clé KMS pour une instance de base de données, comme lorsque la clé n'est pas activée ou lorsque l'accès RDS à une clé KMS est révoqué. Dans ce cas, l'instance de base de données chiffrée passe à un état récupérable pendant sept jours. Si l'instance de base de données ne retrouve pas l'accès à la clé au bout de sept jours, la base de données devient définitivement inaccessible et doit être restaurée à partir d'une sauvegarde. Pour plus d'informations, veuillez consulter Chiffrement d'une instance de base de données.

  • Si une réplique en lecture et son instance de base de données cryptée se trouvent dans la même pièce Région AWS, vous devez utiliser la même clé KMS pour chiffrer les deux.

  • Dans AWS Config, implémentez la règle rds-storage-encrypted AWS gérée pour valider et appliquer le chiffrement pour les instances de base de données RDS et la rds-snapshots-encryptedrègle pour valider et appliquer le chiffrement pour les instantanés de base de données RDS.

  • AWS Security Hub À utiliser pour évaluer si vos ressources Amazon RDS respectent les meilleures pratiques en matière de sécurité. Pour plus d'informations, consultez la section Contrôles du Security Hub pour Amazon RDS.