Chiffrement des Amazon Amazon Aurora - Amazon Aurora
Présentation du chiffrement des ressources Amazon AuroraChiffrement d'un cluster de base de données Amazon AuroraDétermination si le chiffrement est activé pour un cluster de bases de donnéesDisponibilité du chiffrement Amazon AuroraChiffrement en transitLimites des clusters d' de base de données chiffrées Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des Amazon Amazon Aurora

Amazon Aurora peut chiffrer vos clusters d' de base de données Amazon Aurora. Les données chiffrées au repos incluent le stockage sous-jacent pour les clusters de bases de données, les sauvegardes automatiques, les réplicas en lecture et les instantanés.

Les clusters d' de base de données chiffrées Aurora utilisent l'algorithme de chiffrement standard AES -256 pour chiffrer vos données sur le serveur qui héberge vos clusters d' de base de données Amazon Aurora. Une fois vos données chiffrées, Aurora gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.

Note

Pour les clusters d' de base de données chiffrés et non chiffrés, les données en transit entre la source et les répliques lues sont chiffrées, même lors de la réplication entre régions. AWS

Présentation du chiffrement des ressources Amazon Aurora

Les clusters de base de données chiffrée Amazon Aurora fournissent une couche supplémentaire de protection des données en sécurisant vos données contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le chiffrement Amazon Aurora pour renforcer la protection des données de vos applications déployées dans le cloud et pour satisfaire aux exigences de conformité pour le chiffrement au repos.

Pour un cluster de base de données chiffrée Amazon Aurora, les instances de bases de données, journaux, sauvegardes et instantanés sont tous chiffrés. Vous pouvez également chiffrer un réplica en lecture d'un cluster Amazon Aurora chiffré. Amazon Aurora utilise une AWS Key Management Service clé pour chiffrer ces ressources. Pour plus d'informations sur KMS les clés, consultez AWS KMS keysle guide du AWS Key Management Service développeur etAWS KMS key management. Chaque instance de base de données du cluster de base de données est chiffrée à l'aide de la même KMS clé que le cluster de base de données. Si vous copiez un instantané chiffré, vous pouvez utiliser une KMS clé différente pour chiffrer l'instantané cible que celle utilisée pour chiffrer l'instantané source.

Vous pouvez utiliser un Clé gérée par AWS, ou vous pouvez créer des clés gérées par le client. Pour gérer les clés gérées par le client utilisées pour le chiffrement et le déchiffrement de vos ressources Amazon Aurora, vous utilisez AWS Key Management Service (AWS KMS). AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés à l'échelle du cloud. À l'aide de AWS KMS, vous pouvez créer des clés gérées par le client et définir les politiques qui contrôlent la manière dont ces clés gérées par le client peuvent être utilisées. AWS KMS prend en charge CloudTrail, afin que vous puissiez auditer l'utilisation des KMS clés afin de vérifier que les clés gérées par le client sont utilisées de manière appropriée. Vous pouvez utiliser vos clés gérées par le client avec Amazon Aurora et les AWS services pris en charge tels qu'Amazon S3EBS, Amazon et Amazon Redshift. Pour obtenir la liste des services intégrés AWS KMS, consultez la section Intégration des AWS services.

Chiffrement d'un cluster de base de données Amazon Aurora

Pour chiffrer un nouveau cluster de base de données, sélectionnez Enable encryption (Activer le chiffrement) dans la console. Pour plus d'informations sur la création d'un cluster de base de données , consultez Création d'un cluster de base de données Amazon Aurora.

Si vous utilisez la create-db-cluster AWS CLI commande pour créer un cluster de base de données chiffré, définissez le --storage-encrypted paramètre. Si vous utilisez l'reateDBClusterAPIopération C, définissez le StorageEncrypted paramètre sur true.

Lorsque vous créez un cluster de base de données chiffré, vous pouvez choisir une clé gérée par le client ou une clé Clé gérée par AWS pour Amazon Aurora pour chiffrer votre cluster de bases de données. Si vous ne spécifiez pas l'identifiant de clé d'une clé gérée par le client, Amazon Aurora utilise la Clé gérée par AWS pour votre nouveau cluster de bases de données. Amazon Aurora crée un Clé gérée par AWS pour Amazon Aurora pour votre AWS compte. Votre AWS compte est associé à un compte Amazon Aurora différent Clé gérée par AWS pour chaque AWS région.

Pour plus d'informations sur KMS les clés, consultez AWS KMS keysle guide du AWS Key Management Service développeur.

Une fois que vous avez créé un cluster de base de données chiffré, vous ne pouvez pas modifier la KMS clé utilisée par ce cluster de bases de données. Par conséquent, assurez-vous de déterminer vos exigences KMS clés avant de créer votre cluster de base de données chiffré.

Si vous utilisez la AWS CLI create-db-cluster commande pour créer un cluster de base de données crypté avec une clé gérée par le client, définissez le --kms-key-id paramètre sur n'importe quel identifiant de clé pour la KMS clé. Si vous utilisez l'RDSAPICreateDBInstanceopération Amazon, définissez le KmsKeyId paramètre sur n'importe quel identifiant de clé pour la KMS clé. Pour utiliser une clé gérée par le client dans un autre AWS compte, spécifiez la clé ARN ou l'aliasARN.

Important

Amazon Aurora peut perdre l'accès à la KMS clé d'un cluster de bases de données lorsque vous la KMS désactivez. Dans ces cas, le cluster de base de données crypté passe rapidement à inaccessible-encryption-credentials-recoverable l'état. Le cluster de base de données reste dans cet état pendant sept jours, au cours desquels l'instance est arrêtée. APIles appels effectués au cluster de base de données pendant cette période risquent d'échouer. Pour récupérer le cluster de base de données, activez la KMS clé et redémarrez ce cluster de base de données. Activez la KMS touche depuis le AWS Management Console. Redémarrez le cluster de base de données à l'aide de la AWS CLI commande start-db-clusterou AWS Management Console.

Si le cluster de base de données n'est pas restauré dans les sept jours, il passe à l'inaccessible-encryption-credentialsétat terminal. Dans cet état, le cluster de base de données n'est plus utilisable et vous ne pouvez le restaurer qu'à partir d'une sauvegarde. Nous vous recommandons vivement de toujours activer les sauvegardes pour les clusters de bases de données chiffrés afin de vous prémunir contre la perte de données chiffrées dans vos bases de données.

Lors de la création d'un cluster de base de données, Aurora vérifie si le principal appelant a accès à la KMS clé et génère une autorisation à partir de la KMS clé qu'il utilise pendant toute la durée de vie du cluster de base de données. La révocation de l'accès du principal appelant à la KMS clé n'affecte pas la base de données en cours d'exécution. Lorsque vous utilisez KMS des clés dans des scénarios entre comptes, tels que la copie d'un instantané sur un autre compte, la KMS clé doit être partagée avec l'autre compte. Si vous créez un cluster de base de données à partir de l'instantané sans spécifier de KMS clé différente, le nouveau cluster utilise la KMS clé du compte source. La révocation de l'accès à la clé après avoir créé le cluster de base de données n'affecte pas le cluster. Toutefois, la désactivation de la clé a un impact sur tous les clusters de base de données chiffrés avec cette clé. Pour éviter cela, spécifiez une autre clé lors de l'opération de copie instantanée.

Détermination si le chiffrement est activé pour un cluster de bases de données

Vous pouvez utiliser le AWS Management Console AWS CLI, ou RDS API pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données.

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données

  1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données).

  3. Sélectionnez le nom du cluster de base de données que vous souhaitez vérifier pour en voir les détails.

  4. Cliquez sur l'onglet Configuration et cochez la case Encryption (Chiffrement).

    Il indique Enabled (Activé) ou Not enabled (Non activé).

    Vérification du chiffrement au repos pour un cluster de base de données

Pour déterminer si le chiffrement au repos est activé pour un cluster de base de données à l'aide de AWS CLI, appelez la describe-db-clusterscommande avec l'option suivante :

  • --db-cluster-identifier : nom du cluster de base de données.

L'exemple suivant utilise une requête pour renvoyer TRUE ou FALSE concernant le chiffrement au repos pour le cluster de base de données mydb.

Exemple 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données à l'aide d'Amazon RDSAPI, appelez l'escribeDBClustersopération D avec le paramètre suivant :

  • DBClusterIdentifier : nom du cluster de base de données.

Disponibilité du chiffrement Amazon Aurora

Le chiffrement Amazon Aurora est actuellement disponible pour tous les moteurs de base de données et types de stockage.

Note

Le chiffrement Amazon Aurora n'est pas disponible pour la classe d'instance de base de données db.t2.micro.

Chiffrement en transit

AWS fournit une connectivité sécurisée et privée entre les instances de base de données de tous types. En outre, certains types d’instances utilisent les capacités de déchargement du matériel du système Nitro sous-jacent pour chiffrer automatiquement le trafic en transit entre instances. Ce chiffrement utilise des algorithmes de chiffrement authentifié avec données associées (AEAD), avec un cryptage de 256 bits. Il n’y a aucun impact sur les performances du réseau. Pour prendre en charge ce chiffrement supplémentaire du trafic en transit entre les instances, les exigences suivantes doivent être satisfaites :

  • Les instances utilisent les types d’instance suivants :

    • Usage général : M6i, M6id, M6in, M6idn, M7g

    • Mémoire optimisée : R6i, R6id, R6in, R6idn, R7g, X2idn, X2iEDN, X2ieZN

  • Les instances sont identiques Région AWS.

  • Les instances sont identiques VPC ou homologuesVPCs, et le trafic ne passe pas par un périphérique ou un service réseau virtuel, tel qu'un équilibreur de charge ou une passerelle de transit.

Limites des clusters d' de base de données chiffrées Amazon Aurora

Les limitations suivantes s'appliquent aux clusters d' de base de données chiffrées Amazon Aurora :

  • Vous ne pouvez pas désactiver le chiffrement d'un(e) instance de bases de données chiffrées.

  • Vous ne pouvez pas créer d'instantané chiffré de cluster de bases de données non chiffrées.

  • Un instantané d'un cluster d' de base de données chiffré doit être chiffré à l'aide de la même KMS clé que le cluster d' de base de données.

  • Vous ne pouvez pas convertir un cluster de base de données non chiffrée vers un cluster chiffré. Toutefois, vous pouvez restaurer un instantané non chiffré dans un cluster de bases de données Aurora chiffré. Pour ce faire, spécifiez une KMS clé lors de la restauration à partir de l'instantané non chiffré.

  • Vous ne pouvez pas créer de réplica Aurora chiffré à partir d'un cluster de base de données Aurora non chiffré. Vous ne pouvez pas créer de réplica Aurora non chiffré à partir d'un cluster de base de données Aurora chiffré.

  • Pour copier un instantané chiffré d'une AWS région à une autre, vous devez spécifier la KMS clé dans la AWS région de destination. Cela est dû au fait que les KMS clés sont spécifiques à la AWS région dans laquelle elles sont créées.

    L'instantané source reste chiffré pendant tout le processus de copie. Aurora utilise le chiffrement des enveloppes pour protéger les données pendant le processus de copie. Pour plus d'informations sur le chiffrement d'enveloppe, consultez Chiffrement d'enveloppe dans le Guide du développeur AWS Key Management Service .

  • Vous ne pouvez pas déchiffrer un d'instances de bases de données chiffrées. Vous pouvez cependant exporter des données à partir d'un d'instances de bases de données et importer les données dans un d'instances de bases de données non chiffrées.