Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans Amazon Keyspaces
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Amazon Keyspaces (pour Apache Cassandra). Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon Keyspaces ou d'autres utilisateurs à Services AWS l'aide de la console, de l'API ou. AWS CLI AWS SDKs Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
**Topics**
+ [Le chiffrement est au repos dans Amazon Keyspaces](EncryptionAtRest.md)
+ [Chiffrement en transit dans Amazon Keyspaces](encryption-in-transit.md)
+ [Confidentialité du trafic interréseau dans Amazon Keyspaces](inter-network-traffic-privacy.md)
# Le chiffrement est au repos dans Amazon Keyspaces
[Le *chiffrement au repos* d'Amazon Keyspaces (pour Apache Cassandra) améliore la sécurité en chiffrant toutes vos données au repos à l'aide des clés de chiffrement stockées dans ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Cette fonctionnalité réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Avec le chiffrement au repos, vous pouvez créer des applications sensibles à la sécurité qui répondent aux exigences réglementaires et de conformité strictes en matière de protection des données.
Le chiffrement au repos d'Amazon Keyspaces chiffre vos données à l'aide de la norme de chiffrement avancée 256 bits (AES-256). Cela permet de sécuriser vos données contre tout accès non autorisé au stockage sous-jacent.
Amazon Keyspaces chiffre et déchiffre les données des tables et des flux de manière transparente. Amazon Keyspaces utilise le chiffrement des enveloppes et une hiérarchie de clés pour protéger les clés de chiffrement des données. Il s'intègre au stockage et AWS KMS à la gestion de la clé de chiffrement racine. Pour plus d'informations sur la hiérarchie des clés de chiffrement, consultez[Chiffrement au repos : comment cela fonctionne dans Amazon Keyspaces](encryption.howitworks.md). Pour plus d'informations sur des AWS KMS concepts tels que le chiffrement des enveloppes, consultez les [concepts AWS KMS des services de gestion](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) dans le *Guide du AWS Key Management Service développeur*.
Lorsque vous créez une nouvelle table, vous pouvez choisir l'une des *AWS KMS clés suivantes (clés KMS)* :
+ Clé détenue par AWS — Il s'agit du type de cryptage par défaut. La clé appartient à Amazon Keyspaces (sans frais supplémentaires).
+ Clé gérée par le client — Cette clé est stockée dans votre compte et vous l'avez créée, détenue et gérée par vous. Vous avez le contrôle total de la clé gérée par le client (AWS KMS des frais s'appliquent).
Amazon Keyspaces chiffre automatiquement les flux de capture des données de modification (CDC) avec la même clé que la table sous-jacente. Pour plus d'informations sur le CDC, voir[Utilisation des flux de capture des données modifiées (CDC) dans Amazon Keyspaces](cdc.md).
Vous pouvez basculer entre la clé gérée par le client Clé détenue par AWS et la clé gérée par le client à tout moment. Vous pouvez spécifier une clé gérée par le client lorsque vous créez une nouvelle table ou que vous modifiez la clé KMS d'une table existante à l'aide de la console ou par programmation à l'aide d'instructions CQL. Pour savoir comment procéder, veuillez consulter la section [Chiffrement au repos : comment utiliser les clés gérées par le client pour chiffrer des tables dans Amazon Keyspaces](encryption.customermanaged.md).
Le chiffrement au repos à l'aide de l'option par défaut de Clés détenues par AWS est proposé sans frais supplémentaires. Toutefois, des AWS KMS frais s'appliquent pour les clés gérées par le client. Pour de plus amples informations sur la tarification, veuillez consulter [AWS KMS Tarification](https://aws.amazon.com/kms/pricing).
Le chiffrement au repos d'Amazon Keyspaces est disponible dans toutes les régions Régions AWS, y compris en AWS Chine (Pékin) et en AWS Chine (Ningxia). Pour de plus amples informations, veuillez consulter [Chiffrement au repos : comment cela fonctionne dans Amazon Keyspaces](encryption.howitworks.md).
**Topics**
+ [Chiffrement au repos : comment cela fonctionne dans Amazon Keyspaces](encryption.howitworks.md)
+ [Chiffrement au repos : comment utiliser les clés gérées par le client pour chiffrer des tables dans Amazon Keyspaces](encryption.customermanaged.md)
# Chiffrement au repos : comment cela fonctionne dans Amazon Keyspaces
Le *chiffrement au repos d'Amazon Keyspaces (pour Apache Cassandra) chiffre vos données à l'aide de la norme de chiffrement* avancée 256 bits (AES-256). Cela permet de sécuriser vos données contre tout accès non autorisé au stockage sous-jacent. Toutes les données clients contenues dans les tables Amazon Keyspaces sont chiffrées au repos par défaut, et le chiffrement côté serveur est transparent, ce qui signifie qu'il n'est pas nécessaire de modifier les applications.
Encryption at rest s'intègre à AWS Key Management Service (AWS KMS) pour gérer la clé de chiffrement utilisée pour chiffrer vos tables. Lorsque vous créez une nouvelle table ou que vous mettez à jour une table existante, vous pouvez choisir l'une des *AWS KMS principales* options suivantes :
+ Clé détenue par AWS — Il s'agit du type de cryptage par défaut. La clé appartient à Amazon Keyspaces (sans frais supplémentaires).
+ Clé gérée par le client — Cette clé est stockée dans votre compte et vous l'avez créée, détenue et gérée par vous. Vous avez le contrôle total de la clé gérée par le client (AWS KMS des frais s'appliquent).
**AWS KMS clé (clé KMS)**
Le chiffrement au repos protège toutes vos données Amazon Keyspaces à l'aide d'une AWS KMS clé. Par défaut, Amazon Keyspaces utilise une [Clé détenue par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)clé de chiffrement multi-locataires créée et gérée dans un compte de service Amazon Keyspaces.
Cependant, vous pouvez chiffrer vos tables Amazon Keyspaces à l'aide d'[une clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans votre. Compte AWS Vous pouvez sélectionner une clé KMS différente pour chaque table dans un espace de touches. La clé KMS que vous sélectionnez pour une table est également utilisée pour chiffrer toutes ses métadonnées et ses sauvegardes restaurables.
Vous sélectionnez la clé KMS pour une table lorsque vous créez ou mettez à jour la table. Vous pouvez modifier la clé KMS d'une table à tout moment, soit dans la console Amazon Keyspaces, soit à l'aide de l'instruction [ALTER TABLE](cql.ddl.keyspace.md#cql.ddl.keyspace.alter). Le processus de commutation des clés KMS est fluide et ne nécessite pas de temps d'arrêt ni de dégradation du service.
**Hiérarchie des clés**
Amazon Keyspaces utilise une hiérarchie de clés pour chiffrer les données. Dans cette hiérarchie de clés, la clé KMS est la clé racine. Il est utilisé pour chiffrer et déchiffrer la clé de chiffrement des tables Amazon Keyspaces. La clé de chiffrement de table est utilisée pour chiffrer les clés de chiffrement utilisées en interne par Amazon Keyspaces pour chiffrer et déchiffrer les données lors des opérations de lecture et d'écriture.
Grâce à la hiérarchie des clés de chiffrement, vous pouvez apporter des modifications à la clé KMS sans avoir à rechiffrer les données ou à affecter les applications et les opérations de données en cours.
![\[Hiérarchie des clés indiquant la clé racine, la clé de chiffrement de table et la clé de chiffrement des données utilisée pour le chiffrement au repos.\]](http://docs.aws.amazon.com/fr_fr/keyspaces/latest/devguide/images/keyspaces_encryption.png)
**Clé de table**
La clé de table Amazon Keyspaces est utilisée comme clé de chiffrement. Amazon Keyspaces utilise la clé de table pour protéger les clés de chiffrement des données internes utilisées pour chiffrer les données stockées dans les tables, les fichiers journaux et les sauvegardes restaurables. Amazon Keyspaces génère une clé de chiffrement de données unique pour chaque structure sous-jacente d'une table. Toutefois, plusieurs lignes du tableau peuvent être protégées par la même clé de chiffrement des données.
Lorsque vous définissez pour la première fois la clé KMS sur une clé gérée par le client, une *clé de données est AWS KMS générée*. La clé AWS KMS de données fait référence à la clé de table dans Amazon Keyspaces.
Lorsque vous accédez à une table chiffrée, Amazon Keyspaces envoie une demande d'utilisation de la clé KMS AWS KMS pour déchiffrer la clé de table. Il utilise ensuite la clé de table en texte brut pour déchiffrer les clés de chiffrement des données Amazon Keyspaces, et il utilise les clés de chiffrement des données en texte clair pour déchiffrer les données des tables.
Amazon Keyspaces utilise et stocke la clé de table et les clés de chiffrement des données en dehors de. AWS KMS Il protège toutes les clés avec les clés de chiffrement [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES) et 256 bits. Ensuite, il stocke les clés cryptées avec les données cryptées afin qu'elles soient disponibles pour déchiffrer les données de la table à la demande.
**Mise en cache des clés de table**
Pour éviter d'avoir à faire appel AWS KMS à chaque opération Amazon Keyspaces, Amazon Keyspaces met en cache les clés de table en texte brut pour chaque connexion en mémoire. Si Amazon Keyspaces reçoit une demande pour la clé de table mise en cache après cinq minutes d'inactivité, il envoie une nouvelle demande pour déchiffrer la clé AWS KMS de table. Cet appel capture toutes les modifications apportées aux politiques d'accès de la clé KMS dans AWS KMS ou Gestion des identités et des accès AWS (IAM) depuis la dernière demande de déchiffrement de la clé de table.
**Chiffrement d’enveloppe**
Si vous modifiez la clé gérée par le client pour votre table, Amazon Keyspaces génère une nouvelle clé de table. Il utilise ensuite la nouvelle clé de table pour rechiffrer les clés de chiffrement des données. Il utilise également la nouvelle clé de table pour chiffrer les clés de table précédentes utilisées pour protéger les sauvegardes restaurables. Ce processus s'appelle le chiffrement des enveloppes. Cela garantit que vous pouvez accéder aux sauvegardes restaurables même si vous modifiez la clé gérée par le client. Pour plus d'informations sur le chiffrement des enveloppes, consultez la section [Chiffrement des enveloppes](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) dans le *manuel du AWS Key Management Service développeur*.
**Topics**
+ [AWS clés possédées](#keyspaces-owned)
+ [Clés gérées par le client](#customer-managed)
+ [Notes d'utilisation du chiffrement au repos](#encryption.usagenotes)
## AWS clés possédées
Clés détenues par AWS ne sont pas stockés dans votre Compte AWS. Elles font partie d'un ensemble de clés KMS qui AWS possède et gère pour une utilisation multiple Comptes AWS. AWS services que vous pouvez Clés détenues par AWS utiliser pour protéger vos données.
Vous ne pouvez ni afficher, ni gérer, ni utiliser Clés détenues par AWS, ni auditer leur utilisation. Cependant, vous n'avez pas besoin de travailler ou de modifier de programme pour protéger les clés qui chiffrent vos données.
Aucun frais mensuel ni aucun frais d'utilisation ne vous sont facturés pour l'utilisation de Clés détenues par AWS, et ils ne sont pas pris en compte dans les AWS KMS quotas de votre compte.
## Clés gérées par le client
Les clés gérées par le client sont des clés Compte AWS que vous créez, détenez et gérez. Vous avez un contrôle total sur ces clés KMS.
Utilisez une clé gérée par le client pour obtenir les fonctions suivantes.
+ Vous créez et gérez la clé gérée par le client, notamment en définissant et en gérant les [politiques clés, les politiques](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) [IAM et les](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) [autorisations](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) pour contrôler l'accès à la clé gérée par le client. Vous pouvez [activer et désactiver](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) la clé gérée par le client, activer et désactiver la [rotation automatique des clés](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) et [planifier la suppression de la clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) lorsqu'elle n'est plus utilisée. Vous pouvez créer des balises et des alias pour les clés gérées par le client que vous gérez.
+ Vous pouvez utiliser une clé gérée par le client avec un [élément de clé importé](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) ou dans un [magasin de clés personnalisé](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) que vous possédez et gérez.
+ Vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes qu'Amazon Keyspaces envoie en votre AWS KMS nom. Pour de plus amples informations, veuillez consulter [Étape 6 : Configuration de la surveillance avec AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).
Les clés gérées par le client [sont facturées](https://aws.amazon.com/kms/pricing/) pour chaque appel d'API, et AWS KMS des quotas s'appliquent à ces clés KMS. Pour plus d'informations, consultez la section [Quotas de AWS KMS ressources ou de demandes](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html).
Lorsque vous spécifiez une clé gérée par le client comme clé de chiffrement racine pour une table, les sauvegardes restaurables sont chiffrées avec la même clé de chiffrement que celle spécifiée pour la table au moment de la création de la sauvegarde. Si la clé KMS de la table fait l'objet d'une rotation, l'encapsulation des clés garantit que la dernière clé KMS a accès à toutes les sauvegardes restaurables.
Amazon Keyspaces doit avoir accès à votre clé gérée par le client pour vous permettre d'accéder aux données de votre table. Si l'état de la clé de chiffrement est défini sur Désactivé ou si sa suppression est planifiée, Amazon Keyspaces n'est pas en mesure de chiffrer ou de déchiffrer les données. Par conséquent, vous ne pouvez pas effectuer d'opérations de lecture et d'écriture sur la table. Dès que le service détecte que votre clé de chiffrement n'est pas accessible, Amazon Keyspaces envoie une notification par e-mail pour vous avertir.
Vous devez rétablir l'accès à votre clé de chiffrement dans les sept jours, sinon Amazon Keyspaces supprimera automatiquement votre table. Par mesure de précaution, Amazon Keyspaces crée une sauvegarde restaurable des données de votre table avant de supprimer la table. Amazon Keyspaces conserve la sauvegarde restaurable pendant 35 jours. Après 35 jours, vous ne pouvez plus restaurer les données de votre table. La sauvegarde restaurable ne vous est pas facturée, mais les [frais de restauration](https://aws.amazon.com/keyspaces/pricing) standard s'appliquent.
Vous pouvez utiliser cette sauvegarde restaurable pour restaurer vos données dans une nouvelle table. Pour lancer la restauration, la dernière clé gérée par le client utilisée pour la table doit être activée et Amazon Keyspaces doit y avoir accès.
**Note**
Lorsque vous créez une table chiffrée à l'aide d'une clé gérée par le client qui est inaccessible ou dont la suppression est prévue avant la fin du processus de création, une erreur se produit. L'opération de création de table échoue et vous recevez une notification par e-mail.
## Notes d'utilisation du chiffrement au repos
Tenez compte des points suivants lorsque vous utilisez le chiffrement au repos dans Amazon Keyspaces.
+ Le chiffrement au repos côté serveur est activé sur toutes les tables Amazon Keyspaces et ne peut pas être désactivé. La table entière est chiffrée au repos, vous ne pouvez pas sélectionner de colonnes ou de lignes spécifiques pour le chiffrement.
+ Par défaut, Amazon Keyspaces utilise une clé par défaut à service unique (Clé détenue par AWS) pour chiffrer toutes vos tables. Si cette clé n'existe pas, elle a été créée pour vous. Les clés par défaut du service ne peuvent pas être désactivées.
+ Le chiffrement au repos ne chiffre les données que lorsqu'elles sont statiques (au repos) sur un support de stockage persistant. Si la sécurité des données est un élément important pour les données en transit ou en cours d'utilisation, vous devez prendre des mesures supplémentaires :
+ Données en transit : toutes vos données stockées dans Amazon Keyspaces sont cryptées pendant le transfert. Par défaut, les communications à destination et en provenance d'Amazon Keyspaces sont protégées à l'aide du chiffrement SSL (Secure Sockets Layer) /Transport Layer Security (TLS).
+ Données en cours d'utilisation : protégez vos données avant de les envoyer à Amazon Keyspaces en utilisant le chiffrement côté client.
+ Clés gérées par le client : les données stockées dans vos tables sont toujours chiffrées à l'aide des clés gérées par le client. Cependant, les opérations qui effectuent des mises à jour atomiques de plusieurs lignes chiffrent les données temporairement utilisées Clés détenues par AWS pendant le traitement. Cela inclut les opérations de suppression de plages et les opérations qui accèdent simultanément à des données statiques et non statiques.
+ Une seule clé gérée par le client peut générer jusqu'à 50 000 [subventions](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html). Chaque table Amazon Keyspaces associée à une clé gérée par le client consomme 2 subventions. Une subvention est accordée lorsque la table est supprimée. La deuxième subvention est utilisée pour créer un instantané automatique du tableau afin d'éviter toute perte de données au cas où Amazon Keyspaces perdrait involontairement l'accès à la clé gérée par le client. Cette subvention est débloquée 42 jours après la suppression du tableau.
# Chiffrement au repos : comment utiliser les clés gérées par le client pour chiffrer des tables dans Amazon Keyspaces
Vous pouvez utiliser la console ou les instructions CQL AWS KMS key pour spécifier les nouvelles tables et mettre à jour les clés de chiffrement des tables existantes dans Amazon Keyspaces. La rubrique suivante explique comment implémenter des clés gérées par le client pour les tables nouvelles et existantes.
**Topics**
+ [Conditions préalables : créer une clé gérée par le client en utilisant AWS KMS et octroyer des autorisations à Amazon Keyspaces](#encryption.createCMKMS)
+ [Étape 3 : Spécifier une clé gérée par le client pour une nouvelle table](#encryption.tutorial-creating)
+ [Étape 4 : Mettre à jour la clé de chiffrement d'une table existante](#encryption.tutorial-update)
+ [Étape 5 : Utiliser le contexte de chiffrement Amazon Keyspaces dans les journaux](#encryption-context)
+ [Étape 6 : Configuration de la surveillance avec AWS CloudTrail](#encryption-cmk-trail)
## Conditions préalables : créer une clé gérée par le client en utilisant AWS KMS et octroyer des autorisations à Amazon Keyspaces
Avant de protéger une table Amazon Keyspaces avec une [clé gérée par le client](encryption.howitworks.md#customer-managed), vous devez d'abord créer la clé dans AWS Key Management Service (AWS KMS), puis autoriser Amazon Keyspaces à utiliser cette clé.
### Étape 1 : Créez une clé gérée par le client à l'aide de AWS KMS
Pour créer une clé gérée par le client à utiliser pour protéger une table Amazon Keyspaces, vous pouvez suivre les étapes décrites dans [Création de clés KMS de chiffrement symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) à l'aide de la console ou de l'API. AWS
### Étape 2 : Autoriser l'utilisation de votre clé gérée par le client
Avant de pouvoir choisir une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger une table Amazon Keyspaces, les politiques relatives à cette clé gérée par le client doivent autoriser Amazon Keyspaces à l'utiliser en votre nom. Vous avez un contrôle total sur les politiques et les autorisations relatives à la clé gérée par le client. Vous pouvez fournir ces autorisations dans une [politique de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), une [politique IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) ou un [octroi](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html).
Amazon Keyspaces n'a pas besoin d'autorisation supplémentaire pour utiliser la valeur par défaut [Clé détenue par AWS](encryption.howitworks.md#keyspaces-owned)afin de protéger les tables Amazon Keyspaces de votre compte. AWS
Les rubriques suivantes expliquent comment configurer les autorisations requises à l'aide de politiques et d'autorisations IAM qui autorisent les tables Amazon Keyspaces à utiliser une clé gérée par le client.
**Topics**
+ [Politique clé concernant les clés gérées par le client](#encryption-customer-managed-policy)
+ [Exemple de politique de clé](#encryption-customer-managed-policy-sample)
+ [Utiliser des subventions pour autoriser Amazon Keyspaces](#encryption-grants)
#### Politique clé concernant les clés gérées par le client
Lorsque vous sélectionnez une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger une table Amazon Keyspaces, Amazon Keyspaces obtient l'autorisation d'utiliser la clé gérée par le client au nom du principal qui effectue la sélection. Ce principal, qu'il s'agisse d'un utilisateur ou d'un rôle, doit disposer des autorisations requises par Amazon Keyspaces sur la clé gérée par le client.
Amazon Keyspaces requiert au minimum les autorisations suivantes sur une clé gérée par le client :
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms : ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (pour kms: ReEncryptFrom et kms:ReEncryptTo)
+ kms : GenerateDataKey \$1 (pour [kms : GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) et [kms : GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html))
+ [km : DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km : CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
#### Exemple de politique de clé
Par exemple, l’exemple de stratégie de clé suivant fournit uniquement les autorisations requises. La politique a les effets suivants :
+ Permet à Amazon Keyspaces d'utiliser la clé gérée par le client dans le cadre d'opérations cryptographiques et de créer des subventions, mais uniquement lorsqu'elle agit pour le compte des responsables du compte autorisés à utiliser Amazon Keyspaces. Si les principaux responsables spécifiés dans la déclaration de politique ne sont pas autorisés à utiliser Amazon Keyspaces, l'appel échoue, même s'il provient du service Amazon Keyspaces.
+ La clé de ViaService condition [kms :](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) autorise les autorisations uniquement lorsque la demande provient d'Amazon Keyspaces au nom des principaux acteurs répertoriés dans la déclaration de politique. Ces principals ne peuvent pas appeler ces opérations directement. Notez que la commande valeur `kms:ViaService`, `cassandra.*.amazonaws.com`, possède un astérisque (\$1) dans la position Région. Amazon Keyspaces a besoin d'une autorisation pour être indépendant de tout particulier. Région AWS
+ Permet aux administrateurs de clés gérés par le client (utilisateurs qui peuvent assumer le `db-team` rôle) d'accéder en lecture seule à la clé gérée par le client et de révoquer les autorisations, y compris celles [dont Amazon Keyspaces a besoin](#encryption-grants) pour protéger la table.
+ Permet à Amazon Keyspaces d'accéder en lecture seule à la clé gérée par le client. Dans ce cas, Amazon Keyspaces peut appeler ces opérations directement. Il n'est pas obligé d'agir pour le compte du principal d'un compte.
Avant d'utiliser un exemple de politique clé, remplacez les exemples de principes par des principes réels provenant de votre. Compte AWS
```
{
"Id": "key-policy-cassandra",
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService" : "cassandra.*.amazonaws.com"
}
}
},
{
"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/db-team"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
#### Utiliser des subventions pour autoriser Amazon Keyspaces
Outre les politiques clés, Amazon Keyspaces utilise des autorisations pour définir des autorisations sur une clé gérée par le client. Pour visualiser les octrois sur une clé gérée par le client dans votre compte, utilisez l'opération [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html). Amazon Keyspaces n'a pas besoin de subventions, ni d'autorisations supplémentaires, pour utiliser le [Clé détenue par AWS](encryption.howitworks.md#keyspaces-owned)afin de protéger votre table.
Amazon Keyspaces utilise les autorisations d'octroi lorsqu'il effectue des tâches de maintenance du système en arrière-plan et de protection continue des données. Il utilise également des octrois pour générer les clés de table.
Chaque octroi est spécifique à une table. Si le compte inclut plusieurs tables chiffrées sous la même clé gérée par le client, chaque type de table est attribué à chaque table. La subvention est limitée par le contexte de [chiffrement Amazon Keyspaces](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html), qui inclut le nom de la table et Compte AWS l'ID. La subvention inclut l'autorisation de [retirer la subvention](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) si elle n'est plus nécessaire.
Pour créer les subventions, Amazon Keyspaces doit être autorisé à appeler `CreateGrant` au nom de l'utilisateur qui a créé la table cryptée.
La politique de clé peut également permettre au compte de [révoquer l'octroi](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) sur la clé gérée par le client. Toutefois, si vous révoquez l'autorisation sur une table cryptée active, Amazon Keyspaces ne sera pas en mesure de protéger et de gérer la table.
## Étape 3 : Spécifier une clé gérée par le client pour une nouvelle table
Suivez ces étapes pour spécifier la clé gérée par le client sur une nouvelle table à l'aide de la console Amazon Keyspaces ou du CQL.
### Création d'une table chiffrée à l'aide d'une clé gérée par le client (console)
1. [Connectez-vous à la AWS Management Console console Amazon Keyspaces et ouvrez-la chez https://console.aws.amazon.com/keyspaces/ vous.](https://console.aws.amazon.com/keyspaces/home)
1. Dans le panneau de navigation, choisissez **Tables**, puis **Create table (Créer une table)**.
1. Sur la page **Créer une table**, dans la section **Détails de la table**, sélectionnez un espace de touche et attribuez un nom à la nouvelle table.
1. Dans la section **Schéma**, créez le schéma de votre table.
1. Dans la section **Paramètres du tableau**, choisissez **Personnaliser les paramètres**.
1. Passez aux **paramètres de chiffrement**.
Au cours de cette étape, vous devez sélectionner les paramètres de chiffrement de la table.
Dans la section **Chiffrement au repos** AWS KMS key, sous **Choisir une** clé KMS, **choisissez l'option Choisir une autre clé KMS (avancée)**, puis dans le champ de recherche, choisissez AWS KMS key ou entrez un nom de ressource Amazon (ARN).
**Note**
Si la clé que vous avez sélectionnée n'est pas accessible ou ne dispose pas des autorisations requises, consultez la section [Résolution des problèmes d'accès à la clé](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
1. Choisissez **Créer** pour créer la table chiffrée.
### Création d'une nouvelle table à l'aide d'une clé gérée par le client pour le chiffrement au repos (CQL)
Pour créer une nouvelle table qui utilise une clé gérée par le client pour le chiffrement au repos, vous pouvez utiliser l'`CREATE TABLE`instruction comme indiqué dans l'exemple suivant. Assurez-vous de remplacer l'ARN de la clé par un ARN pour une clé valide avec des autorisations accordées à Amazon Keyspaces.
```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Si vous recevez un`Invalid Request Exception`, vous devez confirmer que la clé gérée par le client est valide et qu'Amazon Keyspaces dispose des autorisations requises. Pour vérifier que la clé a été correctement configurée, consultez la section [Résolution des problèmes d'accès à la clé](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
## Étape 4 : Mettre à jour la clé de chiffrement d'une table existante
Vous pouvez également utiliser la console Amazon Keyspaces ou le CQL pour modifier les clés de chiffrement d'une table existante entre une clé KMS gérée par le client Clé détenue par AWS et une clé KMS gérée par le client à tout moment.
### Mettre à jour une table existante avec la nouvelle clé gérée par le client (console)
1. [Connectez-vous à la AWS Management Console console Amazon Keyspaces et ouvrez-la chez https://console.aws.amazon.com/keyspaces/ vous.](https://console.aws.amazon.com/keyspaces/home)
1. Dans le volet de navigation, choisissez **Tables**.
1. Choisissez le tableau que vous souhaitez mettre à jour, puis cliquez sur l'onglet **Paramètres supplémentaires**.
1. Dans la section **Chiffrement au repos**, choisissez **Gérer le chiffrement** pour modifier les paramètres de chiffrement de la table.
Sous **Choisir une AWS KMS key**, choisissez l'option **Choisir une autre clé KMS (avancée)**, puis dans le champ de recherche, choisissez une AWS KMS key ou entrez un Amazon Resource Name (ARN).
**Note**
Si la clé que vous avez sélectionnée n'est pas valide, consultez la section [Résolution des problèmes d'accès aux clés](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
Vous pouvez également choisir un Clé détenue par AWS pour une table chiffrée à l'aide d'une clé gérée par le client.
1. Choisissez **Enregistrer les modifications** pour enregistrer les modifications apportées au tableau.
### Mettre à jour la clé de chiffrement utilisée pour une table existante
Pour modifier la clé de chiffrement d'une table existante, vous devez utiliser l'`ALTER TABLE`instruction pour spécifier une clé gérée par le client pour le chiffrement au repos. Assurez-vous de remplacer l'ARN de la clé par un ARN pour une clé valide avec des autorisations accordées à Amazon Keyspaces.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Si vous recevez un`Invalid Request Exception`, vous devez confirmer que la clé gérée par le client est valide et qu'Amazon Keyspaces dispose des autorisations requises. Pour vérifier que la clé a été correctement configurée, consultez la section [Résolution des problèmes d'accès à la clé](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) dans le Guide du AWS Key Management Service développeur.
Pour rétablir l'option de chiffrement par défaut de la clé de chiffrement au repos avec Clés détenues par AWS, vous pouvez utiliser l'`ALTER TABLE`instruction comme indiqué dans l'exemple suivant.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type' : 'AWS_OWNED_KMS_KEY'
}
};
```
## Étape 5 : Utiliser le contexte de chiffrement Amazon Keyspaces dans les journaux
Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) est un ensemble de paires clé-valeur qui contiennent des données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, lie AWS KMS cryptographiquement le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.
Amazon Keyspaces utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques. Si vous utilisez une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger votre table Amazon Keyspaces, vous pouvez utiliser le contexte de chiffrement pour identifier l'utilisation de la clé gérée par le client dans les dossiers d'audit et les journaux. Il apparaît également en texte clair dans les journaux, tels que dans logs for [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)et [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
Dans ses demandes adressées à AWS KMS, Amazon Keyspaces utilise un contexte de chiffrement comportant trois paires clé-valeur.
```
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "mytable"
"aws:cassandra:subscriberId": "111122223333"
}
```
+ **Keyspace** : la première paire clé-valeur identifie l'espace clé qui inclut la table cryptée par Amazon Keyspaces. La clé est `aws:cassandra:keyspaceName`. La valeur est le nom du keyspace.
```
"aws:cassandra:keyspaceName": ""
```
Par exemple :
```
"aws:cassandra:keyspaceName": "my_keyspace"
```
+ **Table** — La deuxième paire clé-valeur identifie la table cryptée par Amazon Keyspaces. La clé est `aws:cassandra:tableName`. La valeur correspond au nom de la table.
```
"aws:cassandra:tableName": ""
```
Par exemple :
```
"aws:cassandra:tableName": "my_table"
```
+ **Compte** — La troisième paire clé-valeur identifie le. Compte AWS La clé est `aws:cassandra:subscriberId`. La valeur correspond à l’ID de compte.
```
"aws:cassandra:subscriberId": ""
```
Par exemple :
```
"aws:cassandra:subscriberId": "111122223333"
```
## Étape 6 : Configuration de la surveillance avec AWS CloudTrail
Si vous utilisez une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger vos tables Amazon Keyspaces, vous pouvez utiliser AWS CloudTrail les journaux pour suivre les demandes qu'Amazon Keyspaces envoie en votre nom. AWS KMS
Les `CreateGrant` demandes `GenerateDataKey``DescribeKey`,`Decrypt`, et sont abordées dans cette section. En outre, Amazon Keyspaces utilise une [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)opération pour supprimer une autorisation lorsque vous supprimez une table.
**Note**
Lorsque vous travaillez avec Amazon Keyspaces, certaines opérations peuvent générer des CloudTrail événements dont le `invokedBy` champ est égal à. `dynamodb.amazonaws.com` Cela est attendu et se produit car Amazon Keyspaces s'intègre à Amazon DynamoDB pour fournir son service.
**GenerateDataKey**
Amazon Keyspaces crée une clé de table unique pour chiffrer les données au repos. Il envoie une *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*demande AWS KMS qui spécifie la clé KMS de la table.
L’événement qui enregistre l’opération `GenerateDataKey` est similaire à l’exemple d’événement suivant. L'utilisateur est le compte du service Amazon Keyspaces. Les paramètres incluent l'Amazon Resource Name (ARN) de la clé gérée par le client, un spécificateur de clé qui nécessite une clé de 256 bits et le [contexte de chiffrement](#encryption-context) qui identifie l'espace clé, la table et le. Compte AWS
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:56:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
"eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```
**DescribeKey**
Amazon Keyspaces utilise une [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération pour déterminer si la clé KMS que vous avez sélectionnée existe dans le compte et dans la région.
L’événement qui enregistre l’opération `DescribeKey` est similaire à l’exemple d’événement suivant. L'utilisateur est le compte du service Amazon Keyspaces. Les paramètres incluent l'ARN de la clé gérée par le client et un spécificateur de clé qui nécessite une clé de 256 bits.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::123SAMPLE012:user/admin",
"accountId": "123SAMPLE012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:55:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
"eventID": "0d96420e-707e-41b9-9118-56585a669658",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
**Decrypt**
Lorsque vous accédez à une table Amazon Keyspaces, Amazon Keyspaces doit déchiffrer la clé de la table afin de pouvoir déchiffrer les clés situées en dessous dans la hiérarchie. Il déchiffre ensuite les données de la table. Pour déchiffrer la clé de table, Amazon Keyspaces envoie [une](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) demande AWS KMS de déchiffrement indiquant la clé KMS de la table.
L’événement qui enregistre l’opération `Decrypt` est similaire à l’exemple d’événement suivant. L'utilisateur principal est Compte AWS celui qui accède à la table. Les paramètres incluent la clé de table cryptée (sous forme de blob de texte chiffré) et le [contexte de chiffrement](#encryption-context) qui identifie la table et le. Compte AWS AWS KMS déduit l'ID de la clé gérée par le client à partir du texte chiffré.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:29:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
"eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```
**CreateGrant**
Lorsque vous utilisez une [clé gérée par le client](encryption.howitworks.md#customer-managed) pour protéger votre table Amazon Keyspaces, Amazon Keyspaces utilise des [subventions](#encryption-grants) pour permettre au service d'effectuer des tâches continues de protection, de maintenance et de durabilité des données. Ces subventions ne sont pas requises sur [Clés détenues par AWS](encryption.howitworks.md#keyspaces-owned).
Les subventions créées par Amazon Keyspaces sont spécifiques à une table. Le principal de la [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande est l'utilisateur qui a créé la table.
L’événement qui enregistre l’opération `CreateGrant` est similaire à l’exemple d’événement suivant. Les paramètres incluent l'ARN de la clé gérée par le client pour la table, le principal du bénéficiaire et le principal sortant (le service Amazon Keyspaces), ainsi que les opérations couvertes par la subvention. Elle inclut également une contrainte qui exige que toutes les opérations de chiffrement utilisent le [contexte de chiffrement](#encryption-context) spécifié.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
"accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:11:10Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "a7d328af-215e-4661-9a69-88c858909f20",
"operations": [
"DescribeKey",
"GenerateDataKey",
"Decrypt",
"Encrypt",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant"
],
"constraints": {
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
}
},
"retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
"granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
},
"requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
"eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
"readOnly": false,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
# Chiffrement en transit dans Amazon Keyspaces
Amazon Keyspaces accepte uniquement les connexions sécurisées utilisant le protocole TLS (Transport Layer Security). Le chiffrement en transit fournit une couche supplémentaire de protection des données en chiffrant vos données lors de leur transfert vers et depuis Amazon Keyspaces. Les politiques organisationnelles, les réglementations sectorielles ou gouvernementales et les exigences de conformité nécessitent souvent l'utilisation du chiffrement en transit pour renforcer la sécurité des données de vos applications lorsqu'elles transmettent des données sur le réseau.
Pour savoir comment chiffrer les `cqlsh` connexions à Amazon Keyspaces à l'aide du protocole TLS, consultez. [Comment configurer manuellement les `cqlsh` connexions pour le protocole TLS](programmatic.cqlsh.md#encrypt_using_tls) Pour savoir comment utiliser le chiffrement TLS avec les pilotes clients, consultez[Utilisation d'un pilote client Cassandra pour accéder à Amazon Keyspaces par programmation](programmatic.drivers.md).
# Confidentialité du trafic interréseau dans Amazon Keyspaces
Cette rubrique décrit comment Amazon Keyspaces (pour Apache Cassandra) sécurise les connexions entre les applications sur site et Amazon Keyspaces et entre Amazon Keyspaces AWS et les autres ressources de ce dernier. Région AWS
## Trafic entre les clients de service et sur site et les applications
Vous disposez de deux options de connectivité entre votre réseau privé et AWS :
+ Une AWS Site-to-Site VPN connexion. Pour plus d’informations, consultez [Présentation de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) dans le *Guide de l’utilisateur AWS Site-to-Site VPN *.
+ Une Direct Connect connexion. Pour plus d’informations, consultez [Présentation de Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) dans le *Guide de l’utilisateur Direct Connect *.
En tant que service géré, Amazon Keyspaces (pour Apache Cassandra) est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon Keyspaces via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Amazon Keyspaces prend en charge deux méthodes pour authentifier les demandes des clients. La première méthode utilise des informations d'identification spécifiques au service, qui sont des informations d'identification basées sur un mot de passe générées pour un utilisateur IAM spécifique. Vous pouvez créer et gérer le mot de passe à l'aide de la console IAM, de l' AWS CLI API ou de l' AWS API. Pour plus d'informations, consultez la section [Utilisation d'IAM avec Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).
La seconde méthode utilise un plugin d'authentification pour le pilote DataStax Java open source pour Cassandra. Ce plugin permet aux [utilisateurs, aux rôles et aux identités fédérées IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) d'ajouter des informations d'authentification aux demandes d'API Amazon Keyspaces (pour Apache Cassandra) à l'aide du processus [AWS Signature Version 4 (SigV4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)). Pour de plus amples informations, veuillez consulter [Création et configuration des AWS informations d'identification pour Amazon Keyspaces](access.credentials.md).
## Trafic entre les AWS ressources d'une même région
Les points de terminaison VPC d'interface permettent une communication privée entre votre cloud privé virtuel (VPC) exécuté dans Amazon VPC et Amazon Keyspaces. Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink un AWS service qui permet une communication privée entre et les VPCs services. AWS AWS PrivateLink permet cela en utilisant une interface réseau élastique avec private IPs dans votre VPC afin que le trafic réseau ne quitte pas le réseau Amazon. Les points de terminaison VPC d'interface ne nécessitent pas de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. Direct Connect Pour plus d'informations, consultez [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) and [Interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink Pour obtenir des exemples de politiques, consultez [Utilisation des points de terminaison VPC d'interface pour Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints).