Autoriser l'utilisation d'une clé gérée par le client Contexte de chiffrement Amazon RDS

Gestion AWS KMS key

Amazon RDS s'intègre automatiquement avec AWS Key Management Service (AWS KMS) pour la gestion des clés. Amazon RDS utilise le chiffrement d'enveloppe. Pour plus d'informations sur le chiffrement d'enveloppe, consultez Chiffrement d'enveloppe dans le Guide du développeurAWS Key Management Service.

Vous pouvez utiliser deux types de clés AWS KMS pour chiffrer vos instances de base de données.

Si vous souhaitez un contrôle total sur une clé KMS, vous devez créer une clé gérée par le client. Pour plus d'informations sur les clés gérées par le client, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service.

Vous ne pouvez pas partager un instantané chiffré à l'aide de la Clé gérée par AWS du compte AWS qui a partagé l'instantané.
Clés gérées par AWS sont des clés KMS de votre compte qui sont créées, gérées et utilisées en votre nom par un service AWS intégré à AWS KMS. Par défaut, la Clé gérée par AWS RDS (aws/rds) est utilisée pour le chiffrement. Vous ne pouvez pas gérer, faire pivoter ni supprimer la Clé gérée par AWS RDS. Pour plus d'informations sur les Clés gérées par AWS, consultez Clés gérées par AWS dans le Guide du développeur AWS Key Management Service.

Pour gérer les clés KMS utilisées pour les instances de base de données chiffrées par Amazon RDS, utilisez la AWS Key Management Service (AWS KMS) dans la console AWS KMS, l'interface AWS CLI ou l'API AWS KMS. Pour consulter les journaux d'audit de chaque action effectuée à l'aide d'une clé gérée par le client ou par AWS, utilisez AWS CloudTrail. Pour plus d'informations sur la rotation des clés, consultez Rotation des clés AWS KMS.

Important

Si vous désactivez ou révoquez les autorisations sur une clé KMS utilisée par une base de données RDS, RDS place votre base de données dans un état terminal lorsque l'accès à la clé KMS est requis. Cette modification peut être immédiate, ou différée, en fonction du cas d'utilisation nécessitant un accès à la clé KMS. Dans cet état, l'instance de base de données n'est plus disponible et l'état actuel de la base de données ne peut pas être récupéré. Pour restaurer l'instance de base de données, vous devez réactiver l'accès à la clé KMS pour RDS, puis restaurer l'instance de base de données à partir de la dernière sauvegarde disponible.

Autoriser l'utilisation d'une clé gérée par le client

Quand RDS utilise une clé gérée par le client dans le cadre d'opérations de chiffrement, il agit au nom de l'utilisateur qui crée ou modifie la ressource RDS.

Pour créer une ressource RDS à l'aide d'une clé gérée par un client, un utilisateur doit avoir les autorisations nécessaires pour appeler les opérations suivantes sur la clé gérée par le client :

kms:CreateGrant
kms:DescribeKey

Vous pouvez spécifier les autorisations requises dans une politique de clé ou dans une IAM politique si la politique de clé le permet.

Vous pouvez renforcer la politique IAM de différentes manières. Par exemple, si vous voulez limiter l'utilisation de la clé gérée par le client aux seules demandes provenant de RDS, vous pouvez utiliser la clé de condition kms:ViaService avec la valeur rds.<region>.amazonaws.com. Vous pouvez également utiliser les clés ou les valeurs du contexte Contexte de chiffrement Amazon RDS comme condition d'utilisation de la clé gérée par le client pour le chiffrement.

Pour plus d'informations, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS dans le Guide du développeur AWS Key Management Service.

Contexte de chiffrement Amazon RDS

Quand RDS utilise votre clé KMS ou quand Amazon EBS utilise la clé KMS pour le compte de RDS, le service spécifie un contexte de chiffrement. Le contexte de chiffrement représente des informations authentifiées supplémentaires (AAD) qu'AWS KMS utilise afin de garantir l'intégrité des données. Autrement dit, quand un contexte de chiffrement est spécifié pour une opération de chiffrement, le service doit spécifier le même contexte de chiffrement pour l'opération de déchiffrement. Dans le cas contraire, le déchiffrement échoue. Le contexte de chiffrement est également écrit dans vos journaux AWS CloudTrail pour vous aider à comprendre pourquoi une clé KMS donnée a été utilisée. Vos journaux CloudTrail peuvent contenir de nombreuses entrées décrivant l'utilisation d'une clé KMS, mais le contexte de chiffrement figurant dans chaque entrée de journal peut vous aider à déterminer la raison de cette utilisation particulière.

Au minimum, Amazon RDS utilise toujours l'ID d'instance de base de données pour le contexte de chiffrement, comme dans l'exemple au format JSON suivant :


{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Ce contexte de chiffrement peut vous aider à identifier l'instance de base de données pour laquelle votre clé KMS a été utilisée.

Quand votre clé KMS est utilisée pour une instance de base de données spécifique et un volume Amazon EBS spécifique, l'ID d'instance de base de données et l'ID de volume Amazon EBS sont utilisés pour le contexte de chiffrement, comme dans l'exemple au format JSON suivant :


{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement des ressources Amazon RDS

Utilisation de SSL/TLS pour chiffrer une connexion