Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# chiffrement des données en transit
Vous pouvez utiliser le protocole TLS (Transport Layer Security) pour chiffrer la connexion entre votre application et un cluster Amazon DocumentDB. Par défaut, le chiffrement en transit est activé pour les clusters Amazon DocumentDB nouvellement créés. Il peut éventuellement être désactivé lors de la création du cluster, ou ultérieurement. Lorsque le chiffrement en transit est activé, des connexions sécurisées à l'aide de TLS sont nécessaires pour se connecter au cluster. Pour plus d'informations sur la connexion à Amazon DocumentDB à l'aide de TLS, veuillez consulter [Connexion par programmation à Amazon DocumentDB](connect_programmatically.md).
## Gestion des paramètres TLS du cluster Amazon DocumentDB
Le chiffrement en transit pour un cluster Amazon DocumentDB est géré via le paramètre TLS dans un [groupe de paramètres de cluster](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html). Vous pouvez gérer les paramètres TLS de votre cluster Amazon DocumentDB à l'aide du AWS Management Console ou du AWS Command Line Interface ().AWS CLI Consultez les sections suivantes pour savoir comment vérifier et modifier vos paramètres TLS actuels.
------
#### [ Using the AWS Management Console ]
Suivez ces étapes pour effectuer les tâches de gestion du chiffrement TLS à l'aide de la console, telles que l'identification des groupes de paramètres, la vérification de la valeur TLS et les modifications nécessaires.
**Note**
À moins de le spécifier différemment lors de la création d’un cluster, votre cluster est créé avec le groupe de paramètres de cluster par défaut. Les paramètres du groupe de paramètres de cluster `default` ne peuvent pas être modifiés (par exemple, `tls` activé/désactivé). Par conséquent, si votre cluster utilise un groupe de paramètres de cluster `default`, vous devez modifier le cluster pour utiliser un groupe de paramètres de cluster autre que par défaut. Tout d'abord, vous allez peut-être devoir créer un groupe de paramètres de cluster personnalisé. Pour de plus amples informations, veuillez consulter [Création de groupes de paramètres de cluster Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Déterminez le groupe de paramètres de cluster utilisé par votre cluster.**
1. [Ouvrez la console Amazon DocumentDB à https://console.aws.amazon.com l'adresse /docdb.](https://console.aws.amazon.com/docdb)
1. Dans le panneau de navigation, choisissez **Clusters**.
**Astuce**
Si vous ne voyez pas le volet de navigation sur le côté gauche de votre écran, choisissez l'icône de menu (![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/fr_fr/documentdb/latest/developerguide/images/docdb-menu-icon.png)) dans le coin supérieur gauche de la page.
1. Notez que dans la zone de navigation **Clusters**, la colonne **Cluster Identifier** indique à la fois les clusters et les instances. Les instances sont répertoriées sous les clusters. Voir la capture d'écran ci-dessous pour référence.
![\[Image de la boîte de navigation Clusters présentant une liste des liens de cluster existants et leurs liens d'instance correspondants.\]](http://docs.aws.amazon.com/fr_fr/documentdb/latest/developerguide/images/clusters.png)
1. Choisissez le cluster qui vous intéresse.
1. Choisissez l'onglet **Configuration**, faites défiler la page jusqu'en bas de la section **Détails du cluster** et localisez le **groupe de paramètres du cluster**. Notez le nom du groupe de paramètres de cluster.
Si le nom du groupe de paramètres du cluster est `default`, par exemple `default.docdb3.6`, vous devez créer un groupe de paramètres de cluster personnalisé et le désigner groupe de paramètres du cluster avant de continuer. Pour plus d’informations, consultez les ressources suivantes :
1. [Création de groupes de paramètres de cluster Amazon DocumentDB](cluster_parameter_groups-create.md)— Si vous ne disposez pas d'un groupe de paramètres de cluster personnalisé que vous pouvez utiliser, créez-en un.
1. [Modification d'un cluster Amazon DocumentDB](db-cluster-modify.md)— Modifiez votre cluster pour utiliser le groupe de paramètres de cluster personnalisé.
1. **Déterminez la valeur actuelle du paramètre de cluster `tls`.**
1. [Ouvrez la console Amazon DocumentDB à https://console.aws.amazon.com l'adresse /docdb.](https://console.aws.amazon.com/docdb)
1. Dans le panneau de navigation, choisissez **Groupes de paramètres**.
1. Dans la liste des groupes de paramètres de cluster, choisissez le nom du groupe qui vous intéresse.
1. Recherchez la section **Cluster parameters (Paramètres de cluster)**. Dans la liste des paramètres de cluster, recherchez la ligne de paramètre de cluster `tls`. À ce stade, les quatre colonnes suivantes sont importantes :
+ **Nom du paramètre du cluster** : nom des paramètres du cluster. Pour gérer TLS, intéressez-vous au paramètre de cluster `tls`.
+ **Valeurs** — La valeur actuelle de chaque paramètre de cluster.
+ **Valeurs autorisées** : liste de valeurs pouvant être appliquées à un paramètre de cluster.
+ **Type d'application** : **statique** ou **dynamique**. Les modifications apportées aux paramètres de cluster statiques ne peuvent être appliquées que lorsque les instances sont redémarrées. Les modifications apportées aux paramètres de cluster dynamiques peuvent être appliquées immédiatement ou lorsque les instances sont redémarrées.
1. **Modifiez la valeur du paramètre de cluster `tls`.**
Si la valeur de `tls` n'est pas la valeur requise, modifiez-la pour ce groupe de paramètres de cluster. Pour modifier la valeur du paramètre de cluster `tls`, continuez à partir de la section précédente en suivant les étapes ci-dessous.
1. Choisissez le bouton à gauche du nom du paramètre de cluster (`tls`).
1. Choisissez **Modifier**.
1. Pour modifier la valeur de`tls`, dans la boîte de `tls` dialogue **Modifier**, choisissez la valeur que vous souhaitez pour le paramètre de cluster dans la liste déroulante.
Les valeurs valides sont :
+ **désactivé — Désactive** le protocole TLS
+ **activé** — Active les versions TLS 1.0 à 1.3.
+ **fips-140-3** — Active le protocole TLS avec FIPS. Le cluster accepte uniquement les connexions sécurisées conformément aux exigences de la publication 140-3 des Federal Information Processing Standards (FIPS). Ceci n'est pris en charge qu'à partir des clusters Amazon DocumentDB 5.0 (moteur version 3.0.3727) dans les régions suivantes : ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west
+ **tls1.2\$1** — Active TLS version 1.2 et supérieure. Ceci n'est pris en charge qu'à partir d'Amazon DocumentDB 4.0 (version du moteur 2.0.10980) et Amazon DocumentDB (version du moteur 3.0.11051).
+ **tls1.3\$1** — Active TLS version 1.3 et supérieure. Ceci n'est pris en charge qu'à partir d'Amazon DocumentDB 4.0 (version du moteur 2.0.10980) et Amazon DocumentDB (version du moteur 3.0.11051).
![\[Image d'une boîte de dialogue de modification TLS spécifique au cluster.\]](http://docs.aws.amazon.com/fr_fr/documentdb/latest/developerguide/images/modify-tls.png)
1. Choisissez **Modifier le paramètre de cluster**. La modification est appliquée à chaque instance de cluster lors de son redémarrage.
1. **Redémarrez l'instance Amazon DocumentDB.**
Redémarrez chaque instance du cluster de sorte que la modification s'applique à toutes les instances du cluster.
1. [Ouvrez la console Amazon DocumentDB à https://console.aws.amazon.com l'adresse /docdb.](https://console.aws.amazon.com/docdb)
1. Dans le panneau de navigation, choisissez **Instances**.
1. Pour spécifier une instance à redémarrer, recherchez celle-ci dans la liste des instances et choisissez le bouton à gauche de son nom.
1. Choisissez **Actions**, puis **Reboot (Redémarrer)**. Confirmez que vous souhaitez redémarrer en choisissant **Reboot (Redémarrer)**.
------
#### [ Using the AWS CLI ]
Suivez ces étapes pour effectuer des tâches de gestion du chiffrement TLS à l'aide du, AWS CLI telles que l'identification des groupes de paramètres, la vérification de la valeur TLS et les modifications nécessaires.
**Note**
À moins de le spécifier différemment lors de la création d’un cluster, le cluster est créé avec le groupe de paramètres de cluster par défaut. Les paramètres du groupe de paramètres de cluster `default` ne peuvent pas être modifiés (par exemple, `tls` activé/désactivé). Par conséquent, si votre cluster utilise un groupe de paramètres de cluster `default`, vous devez modifier le cluster pour utiliser un groupe de paramètres de cluster autre que par défaut. Tout d'abord, vous allez peut-être devoir créer un groupe de paramètres de cluster personnalisé. Pour de plus amples informations, veuillez consulter [Création de groupes de paramètres de cluster Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Déterminez le groupe de paramètres de cluster utilisé par votre cluster.**
Exécutez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)commande avec les options suivantes :
+ `--db-cluster-identifier`
+ `--query`
Dans l'exemple suivant, remplacez chacune *user input placeholder* par les informations de votre cluster.
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
Le résultat de cette opération ressemble à ce qui suit (format JSON) :
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
Si le nom du groupe de paramètres du cluster est `default`, par exemple `default.docdb3.6`, vous devez disposer d'un groupe de paramètres de cluster personnalisé et le désigner groupe de paramètres du cluster avant de continuer. Pour plus d’informations, consultez les rubriques suivantes :
1. [Création de groupes de paramètres de cluster Amazon DocumentDB](cluster_parameter_groups-create.md)— Si vous ne disposez pas d'un groupe de paramètres de cluster personnalisé que vous pouvez utiliser, créez-en un.
1. [Modification d'un cluster Amazon DocumentDB](db-cluster-modify.md)— Modifiez votre cluster pour utiliser le groupe de paramètres de cluster personnalisé.
1. **Déterminez la valeur actuelle du paramètre de cluster `tls`.**
Pour obtenir plus d'informations sur ce groupe de paramètres de cluster, exécutez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html)commande avec les options suivantes :
+ `--db-cluster-parameter-group-name`
+ `--query`
Limite le résultat aux seuls champs d'intérêt : `ParameterName``ParameterValue`,`AllowedValues`, et`ApplyType`.
Dans l'exemple suivant, remplacez chacune *user input placeholder* par les informations de votre cluster.
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
Le résultat de cette opération ressemble à ce qui suit (format JSON) :
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **Modifiez la valeur du paramètre de cluster `tls`.**
Si la valeur de `tls` n'est pas la valeur requise, modifiez-la pour ce groupe de paramètres de cluster. Pour modifier la valeur du paramètre de `tls` cluster, exécutez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html)commande avec les options suivantes :
+ `--db-cluster-parameter-group-name` — Obligatoire. Nom du groupe de paramètres de cluster à modifier. Il ne peut pas s'agir d'un groupe de paramètres de cluster `default.*`.
+ `--parameters` — Obligatoire. Liste des paramètres du groupe de paramètres de cluster à modifier.
+ `ParameterName` — Obligatoire. Nom du paramètre de cluster à modifier.
+ `ParameterValue` — Obligatoire. Nouvelle valeur pour ce paramètre de cluster. Il doit s'agir de l'une des valeurs `AllowedValues` des paramètres de cluster.
+ `enabled`— Le cluster accepte les connexions sécurisées utilisant les versions TLS 1.0 à 1.3.
+ `disabled`— Le cluster n'accepte pas les connexions sécurisées utilisant le protocole TLS.
+ `fips-140-3`— Le cluster accepte uniquement les connexions sécurisées conformément aux exigences de la publication 140-3 des Federal Information Processing Standards (FIPS). Ceci n'est pris en charge qu'à partir des clusters Amazon DocumentDB 5.0 (moteur version 3.0.3727) dans les régions suivantes : ca-central-1, us-west-2, us-east-1, us-east-2, -1, -1. us-gov-east us-gov-west
+ `tls1.2+`— Le cluster accepte les connexions sécurisées utilisant le protocole TLS version 1.2 ou ultérieure. Ceci n'est pris en charge qu'à partir d'Amazon DocumentDB 4.0 (version du moteur 2.0.10980) et Amazon DocumentDB 5.0 (version du moteur 3.0.11051).
+ `tls1.3+`— Le cluster accepte les connexions sécurisées utilisant le protocole TLS version 1.3 ou supérieure. Ceci n'est pris en charge qu'à partir d'Amazon DocumentDB 4.0 (version du moteur 2.0.10980) et Amazon DocumentDB 5.0 (version du moteur 3.0.11051).
+ `ApplyMethod`— Quand cette modification doit être appliquée. Pour les paramètres de cluster statiques, tels que `tle`, cette valeur doit être `pending-reboot`.
+ `pending-reboot`— La modification n'est appliquée à une instance qu'après son redémarrage. Vous devez redémarrer chaque instance de cluster individuellement pour que cette modification soit appliquée sur l'ensemble des instances du cluster.
Dans les exemples suivants, remplacez chacun *user input placeholder* par les informations de votre cluster.
Le code suivant *est désactivé`tls`,* en appliquant la modification à chaque instance lors de son redémarrage.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
Le code suivant *permet* `tls` (versions 1.0 à 1.3) d'appliquer la modification à chaque instance lors de son redémarrage.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
Le code suivant *active* TLS with`fips-140-3`, en appliquant la modification à chaque instance lors de son redémarrage.
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
Le résultat de cette opération ressemble à ce qui suit (format JSON) :
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **Redémarrez votre instance Amazon DocumentDB.**
Redémarrez chaque instance du cluster de sorte que la modification s'applique à toutes les instances du cluster. Pour redémarrer une instance Amazon DocumentDB, exécutez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html)commande avec l'option suivante :
+ `--db-instance-identifier`
Le code suivant redémarre l'instance `mydocdbinstance`.
Dans les exemples suivants, remplacez chacun *user input placeholder* par les informations de votre cluster.
**Example**
Pour Linux, macOS ou Unix :
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Pour Windows :
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
Le résultat de cette opération ressemble à ce qui suit (format JSON) :
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
Le redémarrage de votre instance prend quelques minutes. Vous pouvez uniquement utiliser l'instance lorsqu'elle présente le statut *disponible*. Vous pouvez surveiller l'état de l'instance en utilisant la console ou la AWS CLI. Pour de plus amples informations, veuillez consulter [Surveillance de l'état d'une instance Amazon DocumentDB](monitoring_docdb-instance_status.md).
------