Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS key gestion

Amazon RDS s'intègre automatiquement avec AWS Key Management Service (AWS KMS) pour la gestion des clés. Amazon RDS utilise le chiffrement d'enveloppe. Pour plus d'informations sur le chiffrement d'enveloppe, consultez Chiffrement d'enveloppe dans le Guide du développeur AWS Key Management Service .

Vous pouvez utiliser deux types de AWS KMS clés pour chiffrer vos d'instances de base de données.

Pour gérer les clés KMS utilisées pour les d'instances de base de données chiffrées Amazon RDS , utilisez le AWS Key Management Service (AWS KMS) dans la AWS KMS console AWS CLI, le ou l' AWS KMS API. Pour consulter les journaux d'audit de chaque action effectuée à l'aide d'une clé gérée par le client ou par AWS , utilisez AWS CloudTrail. Pour plus d'informations sur la rotation des clés, consultez Rotation des clés AWS KMS.

Autoriser l'utilisation d'une clé gérée par le client

Quand RDS utilise une clé gérée par le client dans le cadre d'opérations de chiffrement, il agit au nom de l'utilisateur qui crée ou modifie la ressource RDS.

Pour créer une ressource RDS à l'aide d'une clé gérée par un client, un utilisateur doit avoir les autorisations nécessaires pour appeler les opérations suivantes sur la clé gérée par le client :

Vous pouvez spécifier les autorisations requises dans une politique de clé ou dans une IAM politique si la politique de clé le permet.

Vous pouvez renforcer la politique IAM de différentes manières. Par exemple, si vous souhaitez autoriser l'utilisation de la clé gérée par le client uniquement pour les demandes provenant de RDS , utilisez la clé de kms: ViaService condition avec la rds.<region>.amazonaws.com valeur. Vous pouvez également utiliser les clés ou les valeurs du contexte Contexte de chiffrement Amazon RDS comme condition d'utilisation de la clé gérée par le client pour le chiffrement.

Pour plus d'informations, consultez Autoriser des utilisateurs d'autres comptes à utiliser une clé KMS dans le Guide du développeur AWS Key Management Service .

Contexte de chiffrement Amazon RDS

Quand RDS utilise votre clé KMS ou quand Amazon EBS utilise la clé KMS pour le compte de RDS, le service spécifie un contexte de chiffrement. Le contexte de chiffrement est constitué de données authentifiées supplémentaires (AAD) AWS KMS utilisées pour garantir l'intégrité des données. Autrement dit, quand un contexte de chiffrement est spécifié pour une opération de chiffrement, le service doit spécifier le même contexte de chiffrement pour l'opération de déchiffrement. Dans le cas contraire, le déchiffrement échoue. Le contexte de chiffrement est également écrit dans vos journaux AWS CloudTrail pour vous aider à comprendre pourquoi une clé KMS donnée a été utilisée. Vos CloudTrail journaux peuvent contenir de nombreuses entrées décrivant l'utilisation d'une clé KMS, mais le contexte de chiffrement de chaque entrée de journal peut vous aider à déterminer la raison de cette utilisation particulière.

Au minimum, Amazon RDS utilise toujours l'ID du d'instance de base de données pour le contexte de chiffrement, comme dans l'exemple au format JSON suivant :

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

Ce contexte de chiffrement peut vous aider à identifier le d'instances de base de données pour lequel votre clé KMS a été utilisée.

Lorsque votre clé KMS est utilisée pour un d'instance de base de données et un volume Amazon EBS spécifiques, l'ID de d'instance de base de données et l'ID de volume Amazon EBS sont utilisés pour le contexte de chiffrement, comme dans l'exemple au format JSON suivant :

{
  "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ",
  "aws:ebs:id": "vol-ad8c6542"
}