Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les rubriques suivantes décrivent comment Amazon MWAA protège vos données au repos et en transit. Utilisez ces informations pour découvrir comment Amazon MWAA s'intègre AWS KMS pour chiffrer les données au repos, et comment les données sont chiffrées à l'aide du protocole TLS (Transport Layer Security) en transit.
Chiffrement au repos
Sur Amazon MWAA, les données au repos sont des données que le service enregistre sur un support persistant.
Vous pouvez utiliser une cléAWS détenue pour le chiffrement des données au repos, ou éventuellement fournir une clé gérée par le client pour un chiffrement supplémentaire lorsque vous créez un environnement. Si vous choisissez d'utiliser une clé KMS gérée par le client, elle doit se trouver dans le même compte que les autres AWS ressources et services que vous utilisez dans votre environnement.
Pour utiliser une clé KMS gérée par le client, vous devez joindre la déclaration de politique requise pour CloudWatch accéder à votre politique de clé. Lorsque vous utilisez une clé KMS gérée par le client pour votre environnement, Amazon MWAA octroie quatre subventions en votre nom. Pour plus d'informations sur les subventions qu'Amazon MWAA accorde à une clé KMS gérée par le client, consultez la section Clés gérées par le client pour le chiffrement des données.
Si vous ne spécifiez pas de clé KMS gérée par le client, Amazon MWAA utilise par défaut une clé KMS AWS détenue pour chiffrer et déchiffrer vos données. Nous vous recommandons d'utiliser une clé KMS AWS détenue pour gérer le chiffrement des données sur Amazon MWAA.
Note
Vous payez pour le stockage et l'utilisation des clés KMS AWS détenues ou gérées par le client sur Amazon MWAA. Pour plus d'informations, consultez AWS KMS Pricing
Artefacts de chiffrement
Vous spécifiez les artefacts de chiffrement utilisés pour le chiffrement au repos en spécifiant une cléAWS détenue ou une clé gérée par le client lorsque vous créez votre environnement Amazon MWAA. Amazon MWAA ajoute les subventions nécessaires à la clé que vous avez spécifiée.
Amazon S3 — Les données Amazon S3 sont chiffrées au niveau de l'objet à l'aide du chiffrement côté serveur (SSE). Le chiffrement et le déchiffrement Amazon S3 ont lieu dans le compartiment Amazon S3 où sont stockés votre code DAG et les fichiers de support. Les objets sont chiffrés lorsqu'ils sont chargés sur Amazon S3 et déchiffrés lorsqu'ils sont téléchargés sur votre environnement Amazon MWAA. Par défaut, si vous utilisez une clé KMS gérée par le client, Amazon MWAA l'utilise pour lire et déchiffrer les données de votre compartiment Amazon S3.
CloudWatch Journaux — Si vous utilisez une clé KMS AWS détenue, les journaux Apache Airflow envoyés à Logs sont chiffrés à CloudWatch l'aide du chiffrement côté serveur (SSE) avec la clé KMS AWS détenue par CloudWatch Logs. Si vous utilisez une clé KMS gérée par le client, vous devez ajouter une politique de clé à votre clé KMS pour autoriser CloudWatch Logs à utiliser votre clé.
Amazon SQS — Amazon MWAA crée une file d'attente Amazon SQS pour votre environnement. Amazon MWAA gère le chiffrement des données transmises vers et depuis la file d'attente à l'aide du chiffrement côté serveur (SSE) avec une clé KMS AWS détenue ou une clé KMS gérée par le client que vous spécifiez. Vous devez ajouter des autorisations Amazon SQS à votre rôle d'exécution, que vous utilisiez une clé KMS AWS détenue ou gérée par le client.
Aurora PostgreSQL — Amazon MWAA crée un cluster PostgreSQL pour votre environnement. Aurora PostgreSQL chiffre le contenu à l'aide d' AWS une clé KMS détenue ou gérée par le client à l'aide du chiffrement côté serveur (SSE). Si vous utilisez une clé KMS gérée par le client, Amazon RDS ajoute au moins deux autorisations à la clé : une pour le cluster et une pour l'instance de base de données. Amazon RDS peut créer des subventions supplémentaires si vous choisissez d'utiliser votre clé KMS gérée par le client sur plusieurs environnements. Pour plus d'informations, consultez la section Protection des données dans Amazon RDS.
Chiffrement en transit
Les données en transit sont considérées comme des données susceptibles d'être interceptées lorsqu'elles circulent sur le réseau.
Le protocole TLS (Transport Layer Security) chiffre les objets Amazon MWAA en transit entre les composants Apache Airflow de votre environnement et d'autres AWS services intégrés à Amazon MWAA, tels qu'Amazon S3. Pour plus d'informations sur le chiffrement Amazon S3, consultez Protection des données à l'aide du chiffrement.
