Protection des données dans AWS X-Ray

AWS X-Ray chiffre toujours les traces et les données associées au repos. Lorsque vous devez auditer et désactiver des clés de chiffrement pour des raisons de conformité ou d'exigences internes, vous pouvez configurer X-Ray pour utiliser une clé AWS Key Management Service (AWS KMS) pour crypter les données.

X-Ray fournit un Clé gérée par AWS nomaws/xray. Utilisez cette clé si vous voulez uniquement effectuer un audit de l'utilisation des clés dans AWS CloudTrailet que vous n'avez pas besoin de gérer la clé elle-même. Lorsque vous devez gérer l'accès à la clé ou configurer la rotation des clés, vous pouvez créer une clé gérée par le client.

Lorsque vous modifiez les paramètres de chiffrement, X-Ray passe un certain temps à générer et à propager des clés de données. Pendant que la nouvelle clé est en cours de traitement, X-Ray peut chiffrer les données avec une combinaison de paramètres nouveaux et anciens. Les données existantes ne sont pas chiffrées à nouveau lorsque vous modifiez les paramètres de chiffrement.

Note

AWS KMSfacture lorsque X-Ray utilise une clé KMS pour chiffrer ou déchiffrer les données de suivi.

• Chiffrement par défaut : gratuit.

• Clé gérée par AWS— Payez pour l'utilisation des clés.

• clé gérée par le client : payez pour le stockage et l'utilisation des clés.

Voir les AWS Key Management Servicetarifs pour plus de détails.

Note

Les notifications X-Ray Insights envoient des événements à AmazonEventBridge, qui ne prend actuellement pas en charge les clés gérées par les clients. Pour plus d'informations, voir Protection des données dans Amazon EventBridge.

Vous devez disposer d'un accès de niveau utilisateur à une clé gérée par le client pour configurer X-Ray de manière à l'utiliser, puis pour consulter les traces cryptées. Pour en savoir plus, consultez Autorisations utilisateur pour le chiffrement.

CloudWatch console

Pour configurer X-Ray de manière à utiliser une clé KMS pour le chiffrement à l'aide de la CloudWatch console

1. Connectez-vous à la console AWS Management Console et ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

2. Dans le volet de navigation de gauche, choisissez Paramètres.

3. Choisissez Afficher les paramètres sous Chiffrement dans la section Traçages radiographiques.

4. Choisissez Modifier dans la section Configuration du chiffrement.

5. Choisissez Utiliser une clé KMS.

6. Choisissez une clé dans le menu déroulant :

   • aws/xray — Utilisez le. Clé gérée par AWS

   • alias de clé : utilisez une clé gérée par le client dans votre compte.

   • Entrez manuellement un ARN de clé : utilisez une clé gérée par le client dans un autre compte. Saisissez l'Amazon Resource Name (ARN) complet de la clé dans le champ qui s'affiche.

7. Choisissez Mettre à jour le chiffrement.

X-Ray console

Pour configurer X-Ray afin qu'il utilise une clé KMS pour le chiffrement à l'aide de la console X-Ray

1. Ouvrez la console X-Ray.

2. Choisissez Chiffrement.

3. Choisissez Utiliser une clé KMS.

4. Choisissez une clé dans le menu déroulant :

   • aws/xray — Utilisez le. Clé gérée par AWS

   • alias de clé : utilisez une clé gérée par le client dans votre compte.

   • Entrez manuellement un ARN de clé : utilisez une clé gérée par le client dans un autre compte. Saisissez l'Amazon Resource Name (ARN) complet de la clé dans le champ qui s'affiche.

5. Choisissez Apply (Appliquer).

Note

X-Ray ne prend pas en charge les clés KMS asymétriques.

Si X-Ray ne parvient pas à accéder à votre clé de chiffrement, il arrête de stocker les données. Cela peut se produire si votre utilisateur perd l'accès à la clé KMS ou si vous désactivez une clé actuellement utilisée. Dans ce cas, X-Ray affiche une notification dans la barre de navigation.

Pour configurer les paramètres de chiffrement avec l'API X-Ray, voirConfiguration de l'échantillonnage, des groupes et des paramètres de chiffrement avec l'API AWS X-Ray.