Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des tables chiffrées dans DynamoDB
Vous pouvez utiliser le AWS Management Console ou le AWS Command Line Interface (AWS CLI) pour spécifier la clé de chiffrement sur les nouvelles tables et mettre à jour les clés de chiffrement sur les tables existantes dans Amazon DynamoDB.
**Topics**
+ [Définition de la clé de chiffrement pour une nouvelle table](#encryption.tutorial-creating)
+ [Mise à jour d’une clé de chiffrement](#encryption.tutorial-update)
## Définition de la clé de chiffrement pour une nouvelle table
Suivez ces étapes pour spécifier la clé de chiffrement sur une nouvelle table à l’aide de la console Amazon DynamoDB ou de l’ AWS CLI.
### Création d’une table chiffrée (console)
1. Connectez-vous à la console DynamoDB AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)
1. Dans le volet de navigation sur le côté gauche de la console, choisissez **Tables**.
1. Choisissez **Créer une table**. Comme **Nom de la table**, entrez **Music**. Pour la clé principale, saisissez**Artist**, puis, pour la clé de tri, saisissez**SongTitle**, ces deux valeurs devant être sous forme de chaîne.
1. Dans **Settings** (Paramètres), assurez-vous que l’option **Customize settings** (Personnaliser les paramètres) est sélectionnée.
**Note**
Si **l'option Utiliser les paramètres par défaut** est sélectionnée, les tables sont chiffrées Clé détenue par AWS au repos sans frais supplémentaires.
1. Sous **Chiffrement au repos**, choisissez un type de chiffrement - Clé détenue par AWS Clé gérée par AWS, ou une clé gérée par le client.
+ **Détenu par Amazon DynamoDB.** AWS clé possédée, spécifiquement détenue et gérée par DynamoDB. Aucun frais supplémentaire ne vous est facturé pour l’utilisation de cette clé.
+ **AWS clé gérée**. alias de clé (`aws/dynamodb`). La clé est enregistrée dans votre compte et est gérée par AWS Key Management Service (AWS KMS). AWS KMS des frais s'appliquent.
+ **Stockée dans votre compte, et vous en êtes le propriétaire et le gestionnaire.** Clé gérée par le client. La clé est enregistrée dans votre compte et est gérée par AWS Key Management Service (AWS KMS). AWS KMS des frais s'appliquent.
**Note**
Si vous choisissez de posséder et de gérer votre propre clé, assurez-vous que la politique des clés de KMS est correctement définie. Pour plus d’informations, consultez la [politique relative aux clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
1. Choisissez **Create table** (Créer une table) pour créer la table chiffrée. Pour confirmer le type de chiffrement, sélectionnez les détails de la table dans l’onglet **Overview** (Vue d’ensemble) et examinez la section **Additional details** (Détails supplémentaires).
### Création d’une table chiffrée (AWS CLI)
Utilisez le AWS CLI pour créer une table avec la clé par défaut Clé détenue par AWS, la Clé gérée par AWS, ou une clé gérée par le client pour Amazon DynamoDB.
**Pour créer une table chiffrée avec la valeur par défaut Clé détenue par AWS**
+ Créez la table chiffrée `Music` comme suit :
```
aws dynamodb create-table \
--table-name Music \
--attribute-definitions \
AttributeName=Artist,AttributeType=S \
AttributeName=SongTitle,AttributeType=S \
--key-schema \
AttributeName=Artist,KeyType=HASH \
AttributeName=SongTitle,KeyType=RANGE \
--provisioned-throughput \
ReadCapacityUnits=10,WriteCapacityUnits=5
```
**Note**
Cette table est désormais chiffrée à l'aide de la valeur par défaut Clé détenue par AWS dans le compte de service DynamoDB.
**Pour créer une table chiffrée à l'aide de Clé gérée par AWS for DynamoDB**
+ Créez la table chiffrée `Music` comme suit :
```
aws dynamodb create-table \
--table-name Music \
--attribute-definitions \
AttributeName=Artist,AttributeType=S \
AttributeName=SongTitle,AttributeType=S \
--key-schema \
AttributeName=Artist,KeyType=HASH \
AttributeName=SongTitle,KeyType=RANGE \
--provisioned-throughput \
ReadCapacityUnits=10,WriteCapacityUnits=5 \
--sse-specification Enabled=true,SSEType=KMS
```
Le statut `SSEDescription` de la description de la table est défini sur `ENABLED` et le `SSEType` est `KMS`.
```
"SSEDescription": {
"SSEType": "KMS",
"Status": "ENABLED",
"KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
```
**Pour créer une table chiffrée avec une clé gérée par le client pour DynamoDB**
+ Créez la table chiffrée `Music` comme suit :
```
aws dynamodb create-table \
--table-name Music \
--attribute-definitions \
AttributeName=Artist,AttributeType=S \
AttributeName=SongTitle,AttributeType=S \
--key-schema \
AttributeName=Artist,KeyType=HASH \
AttributeName=SongTitle,KeyType=RANGE \
--provisioned-throughput \
ReadCapacityUnits=10,WriteCapacityUnits=5 \
--sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234
```
**Note**
Pour le`KMSMasterKeyId`, vous pouvez utiliser un ID de clé, un ARN de clé ou un alias de clé. Si vous utilisez un alias de clé (par exemple,`alias/my-key`), DynamoDB résout l'alias et associe la clé AWS KMS sous-jacente à la table. Dans la description du tableau, l'ARN de la clé résolue `KMSMasterKeyArn` sera toujours affiché, et non l'alias. Pour plus d'informations sur les identificateurs de clé, consultez la section [Identifiants de clé (KeyId)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) dans le guide du *AWS Key Management Service développeur*.
Le statut `SSEDescription` de la description de la table est défini sur `ENABLED` et le `SSEType` est `KMS`.
```
"SSEDescription": {
"SSEType": "KMS",
"Status": "ENABLED",
"KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
```
## Mise à jour d’une clé de chiffrement
Vous pouvez également utiliser la console DynamoDB ou le pour mettre à jour AWS CLI les clés de chiffrement d'une table existante entre une clé Clé gérée par AWS, et Clé détenue par AWS une clé gérée par le client à tout moment.
### Mise à jour d’une clé de chiffrement (console)
1. Connectez-vous à la console DynamoDB AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)
1. Dans le volet de navigation sur le côté gauche de la console, choisissez **Tables**.
1. Choisissez la table que vous voulez mettre à jour.
1. Sélectionnez la liste déroulante **Actions**, puis l’option **Update settings** (Mettre à jour les paramètres ).
1. Accédez à l’onglet **Additional settings** (Paramètres supplémentaires).
1. Sous **Encryption** (Chiffrement), choisissez **Manage encryption** (Gérer le chiffrement).
1. Choisissez un type de chiffrement :
+ **Détenue par Amazon DynamoDB.** La AWS KMS clé est détenue et gérée par DynamoDB. Aucun frais supplémentaire ne vous est facturé pour l’utilisation de cette clé.
+ **AWS clé gérée** Alias de clé :`aws/dynamodb`. La clé est enregistrée dans votre compte et est gérée par AWS Key Management Service. (AWS KMS). AWS KMS des frais s'appliquent.
+ **Stockée dans votre compte, et vous en êtes le propriétaire et le gestionnaire.** La clé est enregistrée dans votre compte et est gérée par AWS Key Management Service. (AWS KMS). AWS KMS des frais s'appliquent.
**Note**
Si vous choisissez de posséder et de gérer votre propre clé, assurez-vous que la politique des clés de KMS est correctement définie. Pour plus d’informations, consultez [Politique de clé pour une clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
Choisissez ensuite **Enregistrer** pour mettre à jour la table chiffrée. Pour vérifier le type de chiffrement, consultez les détails de la table sous l’onglet **Présentation**.
### Mise à jour d’une clé de chiffrement (AWS CLI)
Les exemples suivants illustrent comment mettre à jour une table chiffrée à l’aide de l’ AWS CLI.
**Pour mettre à jour une table chiffrée avec la valeur par défaut Clé détenue par AWS**
+ Mettez à jour la table `Music` chiffrée, comme dans l’exemple suivant.
```
aws dynamodb update-table \
--table-name Music \
--sse-specification Enabled=false
```
**Note**
Cette table est désormais chiffrée à l'aide de la valeur par défaut Clé détenue par AWS dans le compte de service DynamoDB.
**Pour mettre à jour une table chiffrée avec le Clé gérée par AWS pour DynamoDB**
+ Mettez à jour la table `Music` chiffrée, comme dans l’exemple suivant.
```
aws dynamodb update-table \
--table-name Music \
--sse-specification Enabled=true
```
Le statut `SSEDescription` de la description de la table est défini sur `ENABLED` et le `SSEType` est `KMS`.
```
"SSEDescription": {
"SSEType": "KMS",
"Status": "ENABLED",
"KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
```
**Pour mettre à jour une table chiffrée avec une clé gérée par le client pour DynamoDB**
+ Mettez à jour la table `Music` chiffrée, comme dans l’exemple suivant.
```
aws dynamodb update-table \
--table-name Music \
--sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234
```
**Note**
Pour le`KMSMasterKeyId`, vous pouvez utiliser un ID de clé, un ARN de clé ou un alias de clé. Si vous utilisez un alias de clé (par exemple,`alias/my-key`), DynamoDB résout l'alias et associe la clé AWS KMS sous-jacente à la table. Dans la description du tableau, l'ARN de la clé résolue `KMSMasterKeyArn` sera toujours affiché, et non l'alias.
Le statut `SSEDescription` de la description de la table est défini sur `ENABLED` et le `SSEType` est `KMS`.
```
"SSEDescription": {
"SSEType": "KMS",
"Status": "ENABLED",
"KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
```