Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Chiffrement des ressources Amazon Aurora - Amazon Aurora
Présentation du chiffrement des ressources Amazon AuroraChiffrement d'un cluster de base de données Amazon AuroraDétermination si le chiffrement est activé pour un cluster de bases de donnéesDisponibilité du chiffrement Amazon AuroraChiffrement en transitLimitations des clusters de base de données chiffrées Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des ressources Amazon Aurora

PDFRSS

Amazon Aurora peut chiffrer vos Amazon Aurora clusters de bases de données. Les données chiffrées au repos incluent le stockage sous-jacent pour les clusters de bases de données, les sauvegardes automatiques, les réplicas en lecture et les instantanés.

Les clusters de base de données chiffrée Amazon Aurora utilisent l'algorithme de chiffrement AES-256 standard pour chiffrer vos données sur le serveur qui héberge vos clusters de base de données Amazon Aurora. Une fois que vos données ont été chiffrées, Amazon Aurora traite l'authentification de l'accès et le déchiffrement de vos données de façon transparente, avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.

Note

Pour les clusters d' de base de données chiffrés et non chiffrés, les données en transit entre la source et les répliques lues sont chiffrées, même lors de la réplication entre régions. AWS

Présentation du chiffrement des ressources Amazon Aurora

Les clusters de base de données chiffrée Amazon Aurora fournissent une couche supplémentaire de protection des données en sécurisant vos données contre tout accès non autorisé au stockage sous-jacent. Vous pouvez utiliser le chiffrement Amazon Aurora pour renforcer la protection des données de vos applications déployées dans le cloud et pour satisfaire aux exigences de conformité pour le chiffrement au repos. Pour un cluster de base de données chiffrée Amazon Aurora, les instances de bases de données, journaux, sauvegardes et instantanés sont tous chiffrés. Pour plus d'informations sur la disponibilité et les limites du chiffrement, consultez Disponibilité du chiffrement Amazon Aurora etLimitations des clusters de base de données chiffrées Amazon Aurora.

Amazon Aurora utilise une AWS Key Management Service clé pour chiffrer ces ressources. AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Vous pouvez utiliser un Clé gérée par AWS, ou vous pouvez créer des clés gérées par le client.

Lorsque vous créez un cluster de bases de données chiffrées, vous pouvez choisir une clé gérée par le client ou la Clé gérée par AWS pour Amazon Aurora pour chiffrer votre cluster de bases de données. Si vous ne spécifiez pas l'identifiant de clé pour une clé gérée par le client, Amazon Aurora l'utilise Clé gérée par AWS pour votre nouveau cluster de bases de données. Amazon Aurora crée un Clé gérée par AWS pour Amazon Aurora pour votre AWS compte. Votre AWS compte est associé à un compte Amazon Aurora différent Clé gérée par AWS pour chaque AWS région.

Pour gérer les clés gérées par le client utilisées pour chiffrer et déchiffrer vos ressources Amazon Aurora, vous utilisez le ().AWS Key Management ServiceAWS KMS

À l'aide de AWS KMS, vous pouvez créer des clés gérées par le client et définir les politiques permettant de contrôler l'utilisation de ces clés gérées par le client. AWS KMS prend en charge CloudTrail, afin que vous puissiez auditer l'utilisation des clés KMS afin de vérifier que les clés gérées par le client sont utilisées de manière appropriée. Vous pouvez utiliser vos clés gérées par le client avec Amazon Aurora et les AWS services pris en charge tels qu'Amazon S3, Amazon EBS et Amazon Redshift. Pour obtenir la liste des services intégrés AWS KMS, consultez la section Intégration des AWS services. Quelques considérations relatives à l'utilisation des clés KMS :

  • Une fois que vous avez créé une instance de base de données chiffrée, vous ne pouvez pas modifier la clé KMS utilisée par cette instance de base de données. Vous devez donc prendre soin de déterminer vos besoins en termes de clés KMS avant de créer votre instance de base de données chiffrée.

    Si vous devez modifier la clé de chiffrement de votre cluster de base de données, créez un instantané manuel de votre cluster et activez le chiffrement lors de la copie de l'instantané. Pour plus d'informations, consultez l'article Re:Post Knowledge.

  • Si vous copiez un instantané chiffré, vous pouvez utiliser une clé KMS différente pour chiffrer l'instantané cible que celle utilisée pour chiffrer l'instantané source.

  • Vous ne pouvez pas partager un instantané chiffré à l'aide Clé gérée par AWS du AWS compte qui l'a partagé.

  • Chaque instance de base de données du cluster de bases de données est chiffrée à l'aide de la même clé KMS que le cluster de bases de données.

  • Vous pouvez également chiffrer un réplica en lecture d'un cluster Amazon Aurora chiffré.

Important

Amazon Aurora peut perdre l'accès à la clé KMS d'un cluster de base de données lorsque vous désactivez la clé KMS. Dans ce cas, le cluster de bases de données chiffré entre dans l'état inaccessible-encryption-credentials-recoverable. Le cluster de base de données reste dans cet état pendant sept jours, au cours desquels l'instance est arrêtée. Les appels d'API effectués vers le cluster de base de données pendant cette période risquent d'échouer. Pour récupérer le cluster de base de données, activez la clé KMS et redémarrez ce cluster de base de données. Activez la clé KMS depuis l'API AWS Management Console AWS CLI, ou RDS. Redémarrez le cluster de base de données à l'aide de la AWS CLI commande start-db-clusterou AWS Management Console.

L'inaccessible-encryption-credentials-recoverableétat s'applique uniquement aux clusters de base de données qui peuvent s'arrêter. Vous ne pouvez pas récupérer des clusters qui ne peuvent pas s'arrêter, tels que les clusters dotés de répliques de lecture entre régions. Pour de plus amples informations, veuillez consulter Limites liées à l'arrêt et au démarrage des clusters de base de données Aurora.

Si le cluster de base de données n'est pas restauré dans les sept jours, il passe à l'inaccessible-encryption-credentialsétat terminal. Dans cet état, le cluster de base de données n'est plus utilisable et vous ne pouvez le restaurer qu'à partir d'une sauvegarde. Nous vous recommandons vivement de toujours activer les sauvegardes pour les clusters de bases de données chiffrés afin de vous prémunir contre la perte de données chiffrées dans vos bases de données.

Lors de la création d'un cluster de base de données, Aurora vérifie si le principal appelant a accès à la clé KMS et génère une autorisation à partir de la clé KMS qu'il utilise pendant toute la durée de vie du cluster de base de données. La révocation de l'accès du principal appelant à la clé KMS n'affecte pas la base de données en cours d'exécution. Lorsque vous utilisez des clés KMS dans des scénarios entre comptes, tels que la copie d'un instantané sur un autre compte, la clé KMS doit être partagée avec l'autre compte. Si vous créez un cluster de base de données à partir du snapshot sans spécifier de clé KMS différente, le nouveau cluster utilise la clé KMS du compte source. La révocation de l'accès à la clé après avoir créé le cluster de base de données n'affecte pas le cluster. Toutefois, la désactivation de la clé a un impact sur tous les clusters de base de données chiffrés avec cette clé. Pour éviter cela, spécifiez une autre clé lors de l'opération de copie instantanée.

Pour plus d'informations sur les clés KMS, consultez AWS KMS keys dans le Guide du développeur AWS Key Management Service et AWS KMS key gestion.

Chiffrement d'un cluster de base de données Amazon Aurora

Pour chiffrer un nouveau cluster de base de données, sélectionnez Enable encryption (Activer le chiffrement) dans la console. Pour plus d'informations sur la création d'un cluster de base de données , consultez Création d'un cluster de base de données Amazon Aurora.

Si vous utilisez la create-db-cluster AWS CLI commande pour créer un cluster de base de données chiffré, définissez le --storage-encrypted paramètre. Si vous utilisez l'opération Create DBCluster API, définissez le StorageEncrypted paramètre sur true.

Une fois que vous avez créé un cluster de base de données chiffrées, vous ne pouvez pas modifier la clé KMS pour ce cluster de bases de données. Vous devez donc prendre soin de déterminer vos besoins en termes de clés KMS avant de créer votre cluster de base de données chiffrées.

Si vous utilisez la AWS CLI create-db-cluster commande pour créer un cluster de base de données chiffré avec une clé gérée par le client, définissez le --kms-key-id paramètre sur n'importe quel identifiant de clé pour la clé KMS. Si vous utilisez l'opération Amazon RDS de l'API CreateDBInstance, définissez le paramètre KmsKeyId sur n'importe quel identifiant de clé pour la clé KMS. Pour utiliser une clé gérée par le client dans un autre AWS compte, spécifiez l'ARN de la clé ou l'alias ARN.

Détermination si le chiffrement est activé pour un cluster de bases de données

Vous pouvez utiliser l'API AWS Management Console AWS CLI, ou RDS pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données.

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données

  1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/l'adresse.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données).

  3. Sélectionnez le nom du cluster de base de données que vous souhaitez vérifier pour en voir les détails.

  4. Cliquez sur l'onglet Configuration et cochez la case Encryption (Chiffrement).

    Il indique Enabled (Activé) ou Not enabled (Non activé).

    Vérification du chiffrement au repos pour un cluster de base de données

console

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données

  1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/l'adresse.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données).

  3. Sélectionnez le nom du cluster de base de données que vous souhaitez vérifier pour en voir les détails.

  4. Cliquez sur l'onglet Configuration et cochez la case Encryption (Chiffrement).

    Il indique Enabled (Activé) ou Not enabled (Non activé).

    Vérification du chiffrement au repos pour un cluster de base de données

Pour déterminer si le chiffrement au repos est activé pour un cluster de base de données à l'aide de AWS CLI, appelez la describe-db-clusterscommande avec l'option suivante :

  • --db-cluster-identifier : nom du cluster de base de données.

L'exemple suivant utilise une requête pour renvoyer TRUE ou FALSE concernant le chiffrement au repos pour le cluster de base de données mydb.

Exemple 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Pour déterminer si le chiffrement au repos est activé pour un cluster de base de données à l'aide de AWS CLI, appelez la describe-db-clusterscommande avec l'option suivante :

  • --db-cluster-identifier : nom du cluster de base de données.

L'exemple suivant utilise une requête pour renvoyer TRUE ou FALSE concernant le chiffrement au repos pour le cluster de base de données mydb.

Exemple 
aws rds describe-db-clusters --db-cluster-identifier mydb --query "*[].{StorageEncrypted:StorageEncrypted}" --output text

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données à l'aide de l'API Amazon RDS, appelez l'DBClustersopération Describe avec le paramètre suivant :

  • DBClusterIdentifier : nom du cluster de base de données.

Pour déterminer si le chiffrement au repos est activé pour un cluster de bases de données à l'aide de l'API Amazon RDS, appelez l'DBClustersopération Describe avec le paramètre suivant :

  • DBClusterIdentifier : nom du cluster de base de données.

Disponibilité du chiffrement Amazon Aurora

Le chiffrement Amazon Aurora est actuellement disponible pour tous les moteurs de base de données et types de stockage.

Note

Le chiffrement Amazon Aurora n'est pas disponible pour la classe d'instance de base de données db.t2.micro.

Chiffrement en transit

Chiffrement au niveau de la couche physique

Toutes les données circulant Régions AWS sur le réseau AWS mondial sont automatiquement cryptées au niveau de la couche physique avant de quitter les installations AWS sécurisées. Tout le trafic entre les deux AZs est crypté. Des couches de chiffrement supplémentaires, y compris celles répertoriées dans cette section, peuvent fournir des protections supplémentaires.

Chiffrement fourni par le peering Amazon VPC et le peering interrégional Transit Gateway

Tout le trafic interrégional qui utilise Amazon VPC et Transit Gateway peering est automatiquement chiffré en masse lorsqu'il quitte une région. Une couche de cryptage supplémentaire est automatiquement fournie au niveau de la couche physique pour tout le trafic avant qu'il ne quitte les installations AWS sécurisées.

Chiffrement entre les instances

AWS fournit une connectivité sécurisée et privée entre les instances de base de données de tous types. En outre, certains types d’instances utilisent les capacités de déchargement du matériel du système Nitro sous-jacent pour chiffrer automatiquement le trafic en transit entre instances. Ce chiffrement utilise des algorithmes de chiffrement authentifié avec données associées (AEAD), avec un chiffrement 256 bits. Il n’y a aucun impact sur les performances du réseau. Pour prendre en charge ce chiffrement supplémentaire du trafic en transit entre les instances, les exigences suivantes doivent être satisfaites :

  • Les instances utilisent les types d’instance suivants :

    • Usage général : M6i, M6id, M6in, M6idn, M7g

    • Mémoire optimisée : R6i, R6id, R6in, R6idn, R7g, X2iEDN, X2ieZN

  • Les instances sont identiques Région AWS.

  • Les instances se trouvent dans le même VPC ou peered VPCs, et le trafic ne passe pas par un périphérique ou un service réseau virtuel, tel qu'un équilibreur de charge ou une passerelle de transit.

Limitations des clusters de base de données chiffrées Amazon Aurora

Les limitations suivantes existent pour les clusters de bases de données chiffrés Amazon Aurora :

  • Vous ne pouvez pas désactiver le chiffrement d'un(e) instance de bases de données chiffrées.

  • Vous ne pouvez pas créer d'instantané chiffré de cluster de bases de données non chiffrées.

  • Un instantané de cluster de bases de données chiffrées doit être chiffré à l'aide de la même clé KMS que le cluster de bases de données.

  • Vous ne pouvez pas convertir un cluster de base de données non chiffrée vers un cluster chiffré. Toutefois, vous pouvez restaurer un instantané non chiffré dans un cluster de base de données Aurora chiffré. Pour ce faire, spécifiez une clé KMS lorsque vous procédez à la restauration à partir de l'instantané non chiffré.

  • Vous ne pouvez pas créer de réplica Aurora chiffré à partir d'un cluster de base de données Aurora non chiffré. Vous ne pouvez pas créer de réplica Aurora non chiffré à partir d'un cluster de base de données Aurora chiffré.

  • Pour copier un instantané chiffré d'une AWS région à une autre, vous devez spécifier la clé KMS dans la AWS région de destination. Cela est dû au fait que les clés KMS sont spécifiques à la AWS région dans laquelle elles sont créées.

    L'instantané source reste chiffré pendant tout le processus de copie. Amazon Aurora utilise un chiffrement d'enveloppe pour protéger les données pendant le processus de copie. Pour plus d'informations sur le chiffrement d'enveloppe, consultez Chiffrement d'enveloppe dans le Guide du développeur AWS Key Management Service .

  • Vous ne pouvez pas déchiffrer un d'instances de bases de données chiffrées. Vous pouvez cependant exporter des données à partir d'un d'instances de bases de données et importer les données dans un d'instances de bases de données non chiffrées.

Rubrique suivante :

AWS KMS key gestion

Rubrique précédente :

Chiffrement des données

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.