Activation du chiffrement au repos Limitations pour les clusters chiffrés

Chiffrement des données Amazon DocumentDB au repos

Note

AWS KMS remplace le terme clé principale du client (CMK) par KMSclé AWS KMS keyet clé. Le concept n'a pas changé. Pour éviter des modifications AWS KMS intempestives, certaines variantes de ce terme sont conservées.

Vous cryptez les données au repos dans votre cluster Amazon DocumentDB en spécifiant l'option de chiffrement du stockage lorsque vous créez votre cluster. Le chiffrement du stockage est activé au niveau du cluster et appliqué à toutes les instances, y compris l'instance principale et toutes les réplicas. Elle est également appliquée au volume de stockage, aux données, aux index, aux journaux, aux sauvegardes automatisées et aux instantanés de votre cluster.

Amazon DocumentDB utilise la norme de chiffrement avancée 256 bits (AES-256) pour chiffrer vos données à l'aide des clés de chiffrement stockées dans (). AWS Key Management Service AWS KMS Lorsque vous utilisez un cluster Amazon DocumentDB avec le chiffrement au repos activé, vous n'avez pas besoin de modifier la logique de votre application ou votre connexion client. Amazon DocumentDB gère le chiffrement et le déchiffrement de vos données de manière transparente, avec un impact minimal sur les performances.

Amazon DocumentDB intègre AWS KMS et utilise une méthode connue sous le nom de chiffrement d'enveloppe pour protéger vos données. Lorsqu'un cluster Amazon DocumentDB est chiffré avec un AWS KMS, Amazon DocumentDB vous AWS KMS demande d'utiliser KMS votre clé pour générer une clé de données chiffrée afin de chiffrer le volume de stockage. La clé de données chiffrée est chiffrée à l'aide de la KMS clé que vous définissez et est stockée avec les données chiffrées et les métadonnées de stockage. Lorsqu'Amazon DocumentDB a besoin d'accéder à vos données chiffrées, elle demande AWS KMS à déchiffrer la clé de données chiffrée à l'aide de votre clé et met en cache la KMS clé de données en texte brut en mémoire pour chiffrer et déchiffrer efficacement les données du volume de stockage.

La fonction de chiffrement du stockage d'Amazon DocumentDB est disponible pour toutes les tailles d'instance prises en charge et partout Régions AWS où Amazon DocumentDB est disponible.

Activation du chiffrement au repos pour un cluster Amazon DocumentDB

Vous pouvez activer ou désactiver le chiffrement au repos sur un cluster Amazon DocumentDB lorsque le cluster est provisionné à l'aide du AWS Management Console ou du AWS Command Line Interface ().AWS CLI Le chiffrement au repos est activé par défaut pour les clusters que vous créez à l'aide de la console. Le chiffrement au repos est désactivé par défaut pour AWS CLI les clusters que vous créez à l'aide du. Par conséquent, vous devez activer explicitement le chiffrement au repos à l'aide du paramètre --storage-encrypted. Dans les deux cas, une fois le cluster créé, vous ne pouvez pas modifier l'option de chiffrement au repos.

Amazon DocumentDB permet AWS KMS de récupérer et de gérer les clés de chiffrement, ainsi que de définir les politiques qui contrôlent la manière dont ces clés peuvent être utilisées. Si vous ne spécifiez aucun identifiant de AWS KMS clé, Amazon DocumentDB utilise la clé de service AWS KMS géré par défaut. Amazon DocumentDB crée une KMS clé distincte pour chacun d'entre eux Région AWS dans votre. Compte AWS Pour plus d'informations, consultez Concepts AWS Key Management Service.

Pour commencer à créer votre propre KMS clé, consultez Getting Started dans le guide du AWS Key Management Service développeur.

Important

Vous devez utiliser une KMS clé de chiffrement symétrique pour chiffrer votre cluster car Amazon DocumentDB ne prend en charge que les clés de chiffrement symétriques. KMS N'utilisez pas de KMS clé asymétrique pour tenter de chiffrer les données de vos clusters Amazon DocumentDB. Pour plus d'informations, consultez la section Clés asymétriques AWS KMS dans le guide du AWS Key Management Service développeur.

Si Amazon DocumentDB ne peut plus accéder à la clé de chiffrement d'un cluster, par exemple, lorsque l'accès à une clé est révoqué, le cluster chiffré passe à l'état terminal. Dans ce cas, vous pouvez uniquement restaurer le cluster à partir d'une sauvegarde. Pour Amazon DocumentDB, les sauvegardes sont toujours activées pendant 1 jour.

En outre, si vous désactivez la clé d'un cluster Amazon DocumentDB chiffré, vous finirez par perdre l'accès en lecture et en écriture à ce cluster. Lorsqu'Amazon DocumentDB rencontre un cluster chiffré par une clé à laquelle il n'a pas accès, le cluster passe à l'état terminal. Dans cet état, le cluster n'est plus disponible et l'état actuel de la base de données ne peut pas être récupéré. Pour restaurer le cluster, vous devez réactiver l'accès à la clé de chiffrement pour Amazon DocumentDB, puis restaurer le cluster à partir d'une sauvegarde.

Important

Vous ne pouvez pas modifier la KMS clé d'un cluster chiffré une fois que vous l'avez déjà créé. Assurez-vous donc de déterminer vos besoins en termes de clés de chiffrement avant de créer votre cluster chiffré.

Using the AWS Management Console

Vous spécifiez l'option chiffrement au repos lorsque vous créez un cluster. Le chiffrement au repos est activé par défaut lorsque vous créez un cluster à l'aide de la AWS Management Console. Il ne peut pas être modifié après la création du cluster.

Pour spécifier l'option de chiffrement au repos, lors de la création de votre cluster

Créez un cluster Amazon DocumentDB comme décrit dans la section Getting Started. Toutefois, à l'étape 6, ne choisissez pas Create cluster (Créer un cluster).
Sous la section Authentication (Authentification ), choisissez Show advanced settings (Afficher les paramètres avancés).
Faites défiler la page vers le bas jusqu'à ncryption-at-rest la section E.
Choisissez l'option souhaitée pour le chiffrement au repos. Quelle que soit l'option choisie, vous ne pouvez pas la modifier après la création du cluster.
- Pour chiffrer les données au repos dans ce cluster, choisissez Enable encryption (Activer le chiffrement).
- Si vous ne souhaitez pas chiffrer les données au repos dans ce cluster, choisissez Disable encryption (Désactiver le chiffrement).
Choisissez la clé primaire que vous souhaitez. Amazon DocumentDB utilise le AWS Key Management Service (AWS KMS) pour récupérer et gérer les clés de chiffrement, et pour définir les politiques qui contrôlent la manière dont ces clés peuvent être utilisées. Si vous ne spécifiez aucun identifiant de AWS KMS clé, Amazon DocumentDB utilise la clé de service AWS KMS géré par défaut. Pour plus d'informations, consultez Concepts AWS Key Management Service.

Note
Une fois que vous avez créé un cluster chiffré, vous ne pouvez pas modifier la KMS clé de ce cluster. Assurez-vous donc de déterminer vos besoins en termes de clés de chiffrement avant de créer votre cluster chiffré.
Complétez les autres sections selon vos besoins et créez votre cluster.

Using the AWS CLI

Pour chiffrer un cluster Amazon DocumentDB à l'aide de, vous devez spécifier AWS CLI l'option lors de --storage-encrypted la création du cluster. Les clusters Amazon DocumentDB créés à l'aide de l'option AWS CLI Ne pas activer le chiffrement du stockage par défaut.

L'exemple suivant crée un cluster Amazon DocumentDB avec le chiffrement du stockage activé.

Pour Linux, macOS ou Unix :


aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted

Pour Windows :


aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted

Lorsque vous créez un cluster Amazon DocumentDB chiffré, vous pouvez spécifier un identifiant de AWS KMS clé, comme dans l'exemple suivant.

Pour Linux, macOS ou Unix :


aws docdb create-db-cluster \
      --db-cluster-identifier sample-cluster \
      --port 27017 \
      --engine docdb \
      --master-username yourPrimaryUsername \
      --master-user-password yourPrimaryPassword \
      --storage-encrypted \
      --kms-key-id key-arn-or-alias

Pour Windows :


aws docdb create-db-cluster ^
      --db-cluster-identifier sample-cluster ^
      --port 27017 ^
      --engine docdb ^
      --master-username yourPrimaryUsername ^
      --master-user-password yourPrimaryPassword ^
      --storage-encrypted ^
      --kms-key-id key-arn-or-alias

Note

Une fois que vous avez créé un cluster chiffré, vous ne pouvez pas modifier la KMS clé de ce cluster. Assurez-vous donc de déterminer vos besoins en termes de clés de chiffrement avant de créer votre cluster chiffré.

Limitations applicables aux clusters chiffrés Amazon DocumentDB

Les limitations suivantes s'appliquent aux clusters chiffrés Amazon DocumentDB.

Vous pouvez activer ou désactiver le chiffrement au repos pour un cluster Amazon DocumentDB uniquement au moment de sa création, et non après la création du cluster. Toutefois, vous pouvez créer une copie chiffrée d'un cluster non chiffré en créant un instantané du cluster non chiffré, puis en restaurant l'instantané non chiffré en tant que nouveau cluster tout en spécifiant l'option de chiffrement au repos.

Pour plus d’informations, consultez les rubriques suivantes :
Les clusters Amazon DocumentDB sur lesquels le chiffrement du stockage est activé ne peuvent pas être modifiés pour désactiver le chiffrement.
Toutes les instances, les sauvegardes automatisées, les instantanés et les index d'un cluster Amazon DocumentDB sont chiffrés avec la même clé. KMS

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement côté client au niveau du champ

chiffrement des données en transit