Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS key management

Amazon Aurora s'intègre automatiquement à AWS Key Management Service (AWS KMS) pour la gestion des clés. Aurora utilise le chiffrement des enveloppes. Pour plus d'informations sur le chiffrement des enveloppes, voir Chiffrement des enveloppes dans le AWS Key Management Service Guide du développeur.

Vous pouvez utiliser deux types de AWS KMS clés pour chiffrer vos clusters d' de base de données.

Pour gérer les KMS clés utilisées pour les clusters d' de base de données chiffrées Amazon Aurora, utilisez le AWS Key Management Service (AWS KMS) dans le AWS KMS console, la AWS CLI, ou le AWS KMS API. Pour consulter les journaux d'audit de chaque action entreprise avec un AWS clé gérée ou gérée par le client, utilisation AWS CloudTrail. Pour plus d'informations sur la rotation des touches, voir Rotation AWS KMS clés.

Autoriser l'utilisation d'une clé gérée par le client

Lorsqu'Aurora utilise une clé gérée par le client dans le cadre d'opérations cryptographiques, elle agit pour le compte de l'utilisateur qui crée ou modifie la ressource Aurora.

Pour créer une ressource Aurora à l'aide d'une clé gérée par le client, un utilisateur doit être autorisé à effectuer les opérations suivantes sur la clé gérée par le client :

Vous pouvez spécifier ces autorisations requises dans une politique clé, ou dans une IAM stratégie si la politique clé le permet.

Vous pouvez rendre la IAM politique plus stricte de différentes manières. Par exemple, si vous souhaitez autoriser l'utilisation de la clé gérée par le client uniquement pour les demandes provenant d'Aurora, utilisez la clé de ViaService condition kms : avec la rds.<region>.amazonaws.com valeur. Vous pouvez également utiliser les clés ou les valeurs du contexte Contexte RDS de chiffrement Amazon comme condition d'utilisation de la clé gérée par le client pour le chiffrement.

Pour plus d'informations, voir Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé dans le AWS Key Management Service Guide du développeur et politiques clés dans AWS KMS.

Contexte RDS de chiffrement Amazon

Lorsqu'Aurora utilise votre KMS clé, ou lorsqu'Amazon EBS utilise la KMS clé pour le compte d'Aurora, le service spécifie un contexte de chiffrement. Le contexte de chiffrement est constitué de données authentifiées supplémentaires (AAD) qui AWS KMS utilisés pour garantir l'intégrité des données. Autrement dit, quand un contexte de chiffrement est spécifié pour une opération de chiffrement, le service doit spécifier le même contexte de chiffrement pour l'opération de déchiffrement. Dans le cas contraire, le déchiffrement échoue. Le contexte de chiffrement est également écrit dans votre AWS CloudTraildes journaux pour vous aider à comprendre pourquoi une KMS clé donnée a été utilisée. Vos CloudTrail journaux peuvent contenir de nombreuses entrées décrivant l'utilisation d'une KMS clé, mais le contexte de chiffrement de chaque entrée de journal peut vous aider à déterminer la raison de cette utilisation particulière.

Au minimum, Aurora utilise toujours l'ID de l'instance de base de données pour le contexte de chiffrement, comme dans l'exemple JSON formaté suivant :

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Ce contexte de chiffrement peut vous aider à identifier l'instance de base de données pour laquelle votre KMS clé a été utilisée.

Lorsque votre KMS clé est utilisée pour une instance de base de données et un EBS volume Amazon spécifiques, l'ID d'instance de base de données et l'ID de EBS volume Amazon sont utilisés pour le contexte de chiffrement, comme dans l'exemple au JSON format suivant :

{
  "aws:rds:dbc-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}