chiffrement des données en transit - Amazon DocumentDB
Gestion des TLS paramètres du cluster

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

chiffrement des données en transit

Vous pouvez utiliser Transport Layer Security (TLS) pour chiffrer la connexion entre votre application et un cluster Amazon DocumentDB. Par défaut, le chiffrement en transit est activé pour les clusters Amazon DocumentDB nouvellement créés. Il peut éventuellement être désactivé lors de la création du cluster, ou ultérieurement. Lorsque le chiffrement en transit est activé, des connexions sécurisées TLS sont nécessaires pour se connecter au cluster. Pour plus d'informations sur la connexion à Amazon DocumentDB à l'aide TLS de. Connexion par programmation à Amazon DocumentDB

Note

Le 11 novembre 2024, nous abandonnerons le support des versions TLS 1.0 et TLS 1.1 et la version minimale par défaut deviendra TLS 1.2. Si votre application utilise la version TLS 1.0 ou TLS 1.1, vous devez la mettre à jour pour utiliser la TLS version 1.2 ou supérieure afin de continuer à utiliser vos clusters Amazon DocumentDB existants après le 11 novembre 2024, sinon votre application ne pourra pas se connecter à une base de données.

Gestion des paramètres du cluster Amazon DocumentDB TLS

Le chiffrement en transit pour un cluster Amazon DocumentDB est géré via le TLS paramètre d'un groupe de paramètres de cluster. Vous pouvez gérer les TLS paramètres de votre cluster Amazon DocumentDB à l'aide du AWS Management Console ou du AWS Command Line Interface ()AWS CLI. Consultez les sections suivantes pour savoir comment vérifier et modifier vos TLS paramètres actuels.

Using the AWS Management Console

Suivez ces étapes pour effectuer des tâches de gestion du TLS chiffrement à l'aide de la console, telles que l'identification des groupes de paramètres, la vérification de la TLS valeur et les modifications nécessaires.

Note

À moins de le spécifier différemment lors de la création d’un cluster, votre cluster est créé avec le groupe de paramètres de cluster par défaut. Les paramètres du groupe de paramètres de cluster default ne peuvent pas être modifiés (par exemple, tls activé/désactivé). Par conséquent, si votre cluster utilise un groupe de paramètres de cluster default, vous devez modifier le cluster pour utiliser un groupe de paramètres de cluster autre que par défaut. Tout d'abord, vous allez peut-être devoir créer un groupe de paramètres de cluster personnalisé. Pour de plus amples informations, veuillez consulter Création de groupes de paramètres de cluster Amazon DocumentDB.

  1. Déterminez le groupe de paramètres de cluster utilisé par votre cluster.

    1. Ouvrez la console Amazon DocumentDB à https://console.aws.amazon.com l'adresse /docdb.

    2. Dans le panneau de navigation, choisissez Clusters.

      Astuce

      Si vous ne voyez pas le volet de navigation sur le côté gauche de votre écran, choisissez l'icône de menu (Hamburger menu icon with three horizontal lines.) dans le coin supérieur gauche de la page.

    3. Notez que dans la zone de navigation Clusters, la colonne Cluster Identifier indique à la fois les clusters et les instances. Les instances sont répertoriées sous les clusters. Voir la capture d'écran ci-dessous pour référence.

      Image de la boîte de navigation Clusters présentant une liste des liens de cluster existants et leurs liens d'instance correspondants.

    4. Choisissez le cluster qui vous intéresse.

    5. Choisissez l'onglet Configuration, faites défiler la page jusqu'en bas de la section Détails du cluster et localisez le groupe de paramètres du cluster. Notez le nom du groupe de paramètres de cluster.

      Si le nom du groupe de paramètres du cluster est default, par exemple default.docdb3.6, vous devez créer un groupe de paramètres de cluster personnalisé et le désigner groupe de paramètres du cluster avant de continuer. Pour plus d’informations, consultez les ressources suivantes :

      1. Création de groupes de paramètres de cluster Amazon DocumentDB— Si vous ne disposez pas d'un groupe de paramètres de cluster personnalisé que vous pouvez utiliser, créez-en un.

      2. Modification d'un cluster Amazon DocumentDB— Modifiez votre cluster pour utiliser le groupe de paramètres de cluster personnalisé.

  2. Déterminez la valeur actuelle du paramètre de cluster tls.

    1. Ouvrez la console Amazon DocumentDB à https://console.aws.amazon.com l'adresse /docdb.

    2. Dans le panneau de navigation, choisissez Groupes de paramètres.

    3. Dans la liste des groupes de paramètres de cluster, choisissez le nom du groupe qui vous intéresse.

    4. Recherchez la section Cluster parameters (Paramètres de cluster). Dans la liste des paramètres de cluster, recherchez la ligne de paramètre de cluster tls. À ce stade, les quatre colonnes suivantes sont importantes :

      • Nom du paramètre du cluster : nom des paramètres du cluster. Pour ce qui est de la gestionTLS, le paramètre du tls cluster vous intéresse.

      • Valeurs — La valeur actuelle de chaque paramètre de cluster.

      • Valeurs autorisées : liste de valeurs pouvant être appliquées à un paramètre de cluster.

      • Type d'application : statique ou dynamique. Les modifications apportées aux paramètres de cluster statiques ne peuvent être appliquées que lorsque les instances sont redémarrées. Les modifications apportées aux paramètres de cluster dynamiques peuvent être appliquées immédiatement ou lorsque les instances sont redémarrées.

  3. Modifiez la valeur du paramètre de cluster tls.

    Si la valeur de tls n'est pas la valeur requise, modifiez-la pour ce groupe de paramètres de cluster. Pour modifier la valeur du paramètre de cluster tls, continuez à partir de la section précédente en suivant les étapes ci-dessous.

    1. Choisissez le bouton à gauche du nom du paramètre de cluster (tls).

    2. Choisissez Modifier.

    3. Pour modifier la valeur detls, dans la boîte de tls dialogue Modifier, choisissez la valeur que vous souhaitez pour le paramètre de cluster dans la liste déroulante.

      Les valeurs valides sont :

      • désactivé — Désactive TLS

      • activé — Active les TLS versions 1.0, 1.1, 1.2 et 1.3 (remarque : TLS les versions 1.0 et 1.1 seront obsolètes le 11 novembre 2024).

      • fips-140-3 — Active avec. TLS FIPS Le cluster accepte uniquement les connexions sécurisées conformément aux exigences de la publication 140-3 des Federal Information Processing Standards (FIPS). Ceci n'est pris en charge qu'à partir des clusters Amazon DocumentDB 5.0 (moteur version 3.0.3727) dans les régions suivantes : ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west

      Image d'une boîte de dialogue de modification TLS spécifique au cluster.

    4. Choisissez Modifier le paramètre de cluster. La modification est appliquée à chaque instance de cluster lors de son redémarrage.

  4. Redémarrez l'instance Amazon DocumentDB.

    Redémarrez chaque instance du cluster de sorte que la modification s'applique à toutes les instances du cluster.

    1. Ouvrez la console Amazon DocumentDB à https://console.aws.amazon.com l'adresse /docdb.

    2. Dans le panneau de navigation, choisissez Instances.

    3. Pour spécifier une instance à redémarrer, recherchez celle-ci dans la liste des instances et choisissez le bouton à gauche de son nom.

    4. Choisissez Actions, puis Reboot (Redémarrer). Confirmez que vous souhaitez redémarrer en choisissant Reboot (Redémarrer).

Using the AWS CLI

Suivez ces étapes pour effectuer des tâches de gestion du TLS chiffrement à l'aide du AWS CLI, telles que l'identification des groupes de paramètres, la vérification de la TLS valeur et les modifications nécessaires.

Note

À moins de le spécifier différemment lors de la création d’un cluster, le cluster est créé avec le groupe de paramètres de cluster par défaut. Les paramètres du groupe de paramètres de cluster default ne peuvent pas être modifiés (par exemple, tls activé/désactivé). Par conséquent, si votre cluster utilise un groupe de paramètres de cluster default, vous devez modifier le cluster pour utiliser un groupe de paramètres de cluster autre que par défaut. Tout d'abord, vous allez peut-être devoir créer un groupe de paramètres de cluster personnalisé. Pour de plus amples informations, veuillez consulter Création de groupes de paramètres de cluster Amazon DocumentDB.

  1. Déterminez le groupe de paramètres de cluster utilisé par votre cluster.

    Utilisez la commande describe-db-clusters avec les paramètres suivants :

    • --db-cluster-identifier — Obligatoire. Nom du cluster qui vous intéresse.

    • --query— Facultatif. Requête qui limite la sortie aux seuls champs d'intérêt (dans ce cas, le nom du cluster et le nom du groupe de paramètres de cluster).

    aws docdb describe-db-clusters \
       --db-cluster-identifier docdb-2019-05-07-13-57-08 \
       --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'

    Le résultat de cette opération ressemble à ce qui suit (JSONformat).

    [
       [
           "docdb-2019-05-07-13-57-08",
           "custom3-6-param-grp"
       ]
]

    Si le nom du groupe de paramètres du cluster est default, par exemple default.docdb3.6, vous devez disposer d'un groupe de paramètres de cluster personnalisé et le désigner groupe de paramètres du cluster avant de continuer. Pour plus d’informations, consultez les rubriques suivantes :

    1. Création de groupes de paramètres de cluster Amazon DocumentDB— Si vous ne disposez pas d'un groupe de paramètres de cluster personnalisé que vous pouvez utiliser, créez-en un.

    2. Modification d'un cluster Amazon DocumentDB— Modifiez votre cluster pour utiliser le groupe de paramètres de cluster personnalisé.

  2. Déterminez la valeur actuelle du paramètre de cluster tls.

    Pour obtenir plus d'informations sur ce groupe de paramètres de cluster, utilisez l'opération describe-db-cluster-parameters avec les paramètres suivants :

    • --db-cluster-parameter-group-name — Obligatoire. Utilisez le nom du groupe de paramètres de cluster à partir de la sortie de la commande précédente.

    • --query— Facultatif. Une requête qui limite la sortie aux champs d'intérêt, dans ce cas, le ParameterName, ParameterValue, AllowedValues, et ApplyType.

    aws docdb describe-db-cluster-parameters \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'

    Le résultat de cette opération ressemble à ce qui suit (JSONformat).

    [
    [
        "audit_logs",
        "disabled",
        "enabled,disabled",
        "dynamic"
    ],
    [
        "tls",
        "disabled",
        "disabled,enabled,fips-140-3",
        "static"
    ],
    [
        "ttl_monitor",
        "enabled",
        "disabled,enabled",
        "dynamic"
    ]
]

  3. Modifiez la valeur du paramètre de cluster tls.

    Si la valeur de tls n'est pas la valeur requise, modifiez-la pour ce groupe de paramètres de cluster. Pour modifier la valeur du paramètre de cluster tls, utilisez l'opération modify-db-cluster-parameter-group avec les paramètres suivants.

    • --db-cluster-parameter-group-name — Obligatoire. Nom du groupe de paramètres de cluster à modifier. Il ne peut pas s'agir d'un groupe de paramètres de cluster default.*.

    • --parameters — Obligatoire. Liste des paramètres du groupe de paramètres de cluster à modifier.

      • ParameterName — Obligatoire. Nom du paramètre de cluster à modifier.

      • ParameterValue — Obligatoire. Nouvelle valeur pour ce paramètre de cluster. Il doit s'agir de l'une des valeurs AllowedValues des paramètres de cluster.

        • enabled— Le cluster accepte uniquement les connexions sécurisées utilisant les TLS versions 1.0, 1.1, 1.2 ou 1.3 (remarque : TLS les versions 1.0 et 1.1 seront obsolètes le 11 novembre 2024).

        • disabled— Le cluster n'accepte pas les connexions sécurisées utilisantTLS.

        • fips-140-3— Le cluster accepte uniquement les connexions sécurisées conformément aux exigences de la publication 140-3 des Federal Information Processing Standards (FIPS). Ceci n'est pris en charge qu'à partir des clusters Amazon DocumentDB 5.0 (moteur version 3.0.3727) dans les régions suivantes : ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west

      • ApplyMethod— Quand cette modification doit être appliquée. Pour les paramètres de cluster statiques, tels que tle, cette valeur doit être pending-reboot.

        • pending-reboot— La modification n'est appliquée à une instance qu'après son redémarrage. Vous devez redémarrer chaque instance de cluster individuellement pour que cette modification soit appliquée sur l'ensemble des instances du cluster.

    Le code suivant désactive tls et applique la modification à chaque instance de base de données lorsqu'elle est redémarrée.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"

    Le code suivant permet tls (versions 1.0, 1.1. 1.2 et 1.3) d'appliquer la modification à chaque instance de base de données lors de son redémarrage.

    aws docdb modify-db-cluster-parameter-group \
    --db-cluster-parameter-group-name custom3-6-param-grp \
    --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"

    Le code suivant permet TLS d'fips-140-3appliquer la modification à chaque instance de base de données lors de son redémarrage.

    aws docdb modify-db-cluster-parameter-group \
    ‐‐db-cluster-parameter-group-name custom5-0-param-grp \
    ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"

    Le résultat de cette opération ressemble à ce qui suit (JSONformat).

    {
    "DBClusterParameterGroupName": "custom3-6-param-grp"
}

  4. Redémarrez votre instance Amazon DocumentDB.

    Redémarrez chaque instance du cluster de sorte que la modification s'applique à toutes les instances du cluster. Pour redémarrer une instance Amazon DocumentDB, utilisez l'reboot-db-instanceopération avec le paramètre suivant :

    • --db-instance-identifier — Obligatoire. Identifiant de l'instance à redémarrer.

    Le code suivant redémarre l'instance sample-db-instance.

    Pour Linux, macOS ou Unix :

    aws docdb reboot-db-instance \
       --db-instance-identifier sample-db-instance

    Pour Windows :

    aws docdb reboot-db-instance ^
       --db-instance-identifier sample-db-instance

    Le résultat de cette opération ressemble à ce qui suit (JSONformat).

    {
    "DBInstance": {
        "AutoMinorVersionUpgrade": true,
        "PubliclyAccessible": false,
        "PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
        "PendingModifiedValues": {},
        "DBInstanceStatus": "rebooting",
        "DBSubnetGroup": {
            "Subnets": [
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1a"
                    },
                    "SubnetIdentifier": "subnet-4e26d263"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1c"
                    },
                    "SubnetIdentifier": "subnet-afc329f4"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1e"
                    },
                    "SubnetIdentifier": "subnet-b3806e8f"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1d"
                    },
                    "SubnetIdentifier": "subnet-53ab3636"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1b"
                    },
                    "SubnetIdentifier": "subnet-991cb8d0"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1f"
                    },
                    "SubnetIdentifier": "subnet-29ab1025"
                }
            ],
            "SubnetGroupStatus": "Complete",
            "DBSubnetGroupDescription": "default",
            "VpcId": "vpc-91280df6",
            "DBSubnetGroupName": "default"
        },
        "PromotionTier": 2,
        "DBInstanceClass": "db.r5.4xlarge",
        "InstanceCreateTime": "2018-11-05T23:10:49.905Z",
        "PreferredBackupWindow": "00:00-00:30",
        "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
        "StorageEncrypted": true,
        "VpcSecurityGroups": [
            {
                "Status": "active",
                "VpcSecurityGroupId": "sg-77186e0d"
            }
        ],
        "EngineVersion": "3.6.0",
        "DbiResourceId": "db-SAMPLERESOURCEID",
        "DBInstanceIdentifier": "sample-cluster-instance-00",
        "Engine": "docdb",
        "AvailabilityZone": "us-east-1a",
        "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
        "BackupRetentionPeriod": 1,
        "Endpoint": {
            "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
            "Port": 27017,
            "HostedZoneId": "Z2R2ITUGPM61AM"
        },
        "DBClusterIdentifier": "sample-cluster"
    }
}

    Le redémarrage de votre instance prend quelques minutes. Vous pouvez uniquement utiliser l'instance lorsqu'elle présente le statut disponible. Vous pouvez surveiller l'état de l'instance en utilisant la console ou la AWS CLI. Pour de plus amples informations, veuillez consulter Surveillance de l'état d'une instance Amazon DocumentDB.