View a markdown version of this page

Chiffrement des données Amazon DocumentDB au repos - Amazon DocumentDB
Activation du chiffrement au reposRésolution d'un état de chiffrement inaccessibleLimitations pour les clusters chiffrés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des données Amazon DocumentDB au repos

Note

AWS KMS remplace le terme clé principale du client (CMK) par AWS KMS keyclé KMS. Le concept n'a pas changé. Pour éviter des modifications AWS KMS intempestives, certaines variantes de ce terme sont conservées.

Vous cryptez les données au repos dans votre cluster Amazon DocumentDB en spécifiant l'option de chiffrement du stockage lorsque vous créez votre cluster. Le chiffrement du stockage est activé au niveau du cluster et appliqué à toutes les instances, y compris l'instance principale et toutes les réplicas. Elle est également appliquée au volume de stockage, aux données, aux index, aux journaux, aux sauvegardes automatisées et aux instantanés de votre cluster.

Amazon DocumentDB utilise la norme de chiffrement avancée 256 bits (AES-256) pour chiffrer vos données à l'aide des clés de chiffrement stockées dans (). AWS Key Management Service AWS KMS Lorsque vous utilisez un cluster Amazon DocumentDB avec le chiffrement au repos activé, vous n'avez pas besoin de modifier la logique de votre application ou votre connexion client. Amazon DocumentDB gère le chiffrement et le déchiffrement de vos données de manière transparente, avec un impact minimal sur les performances.

Amazon DocumentDB intègre AWS KMS et utilise une méthode connue sous le nom de chiffrement d'enveloppe pour protéger vos données. Lorsqu'un cluster Amazon DocumentDB est chiffré avec un AWS KMS, Amazon DocumentDB vous AWS KMS demande d'utiliser votre clé KMS pour générer une clé de données chiffrée afin de chiffrer le volume de stockage. La clé de données chiffrée est chiffrée à l'aide de la clé KMS que vous définissez et est stockée avec les données chiffrées et les métadonnées de stockage. Lorsqu'Amazon DocumentDB a besoin d'accéder à vos données chiffrées, elle demande de déchiffrer la clé de données chiffrée AWS KMS à l'aide de votre clé KMS et met en cache la clé de données en texte brut en mémoire pour chiffrer et déchiffrer efficacement les données du volume de stockage.

La fonction de chiffrement du stockage d'Amazon DocumentDB est disponible pour toutes les tailles d'instance prises en charge et partout Régions AWS où Amazon DocumentDB est disponible.

Activation du chiffrement au repos pour un cluster Amazon DocumentDB

Vous pouvez activer ou désactiver le chiffrement au repos sur un cluster Amazon DocumentDB lorsque le cluster est provisionné à l'aide du AWS Management Console ou du AWS Command Line Interface ().AWS CLI Le chiffrement au repos est activé par défaut pour les clusters que vous créez à l'aide de la console. Le chiffrement au repos est désactivé par défaut pour AWS CLI les clusters que vous créez à l'aide du. Par conséquent, vous devez activer explicitement le chiffrement au repos à l'aide du paramètre --storage-encrypted. Dans les deux cas, une fois le cluster créé, vous ne pouvez pas modifier l'option de chiffrement au repos.

Amazon DocumentDB permet AWS KMS de récupérer et de gérer les clés de chiffrement, ainsi que de définir les politiques qui contrôlent la manière dont ces clés peuvent être utilisées. Si vous ne spécifiez aucun identifiant de AWS KMS clé, Amazon DocumentDB utilise la clé KMS du service AWS géré par défaut. Amazon DocumentDB crée une clé KMS distincte pour chaque Région AWS élément de votre. Compte AWS Pour plus d'informations, consultez Concepts AWS Key Management Service.

Pour commencer à créer votre propre clé KMS, consultez Getting Started dans le guide du AWS Key Management Service développeur.

Important

Vous devez utiliser une clé KMS de chiffrement symétrique pour chiffrer votre cluster car Amazon DocumentDB ne prend en charge que les clés KMS de chiffrement symétriques. N'utilisez pas de clé KMS asymétrique pour tenter de chiffrer les données de vos clusters Amazon DocumentDB. Pour plus d'informations, consultez la section Clés asymétriques AWS KMS dans le guide du AWS Key Management Service développeur.

Si Amazon DocumentDB ne peut plus accéder à la clé KMS d'un cluster (par exemple, lorsque le propriétaire de la clé est suspendu, Compte AWS que la clé est désactivée, que la suppression de la clé est planifiée ou que la politique ou la subvention sur laquelle repose Amazon DocumentDB est supprimée), le cluster passe d'abord au statut. inaccessible-encryption-credentials-recoverable Tant que le cluster est dans cet état, Amazon DocumentDB arrête les instances du cluster et vous ne pouvez ni lire ni écrire sur le cluster, mais le cluster peut toujours être restauré si l'accès à la clé KMS est rétabli dans les 7 jours. Si l'accès n'est pas rétabli dans les 7 jours, le cluster passe à l'inaccessible-encryption-credentialsétat de terminal. À partir de l'état du terminal, le cluster n'est plus disponible et l'état actuel de la base de données ne peut pas être restauré. Vous pouvez uniquement effectuer une restauration à partir d'une sauvegarde ou effectuer une restauration ponctuelle à l'aide de la clé KMS d'origine. Pour Amazon DocumentDB, les sauvegardes sont toujours activées pendant au moins 1 jour.

Note

Les clusters qui font partie d'un cluster global se comportent différemment. Lorsqu'Amazon DocumentDB détecte qu'il ne peut plus accéder à la clé KMS, tous les clusters du cluster global passent directement au statut de terminal, en ignorant le inaccessible-encryption-credentials statut récupérable. En effet, un cluster faisant partie d'un cluster global ne peut être arrêté et démarré que s'il s'agit du seul cluster du cluster global. Pour effectuer une restauration, vous devez effectuer une restauration à partir d'un instantané ou effectuer une restauration ponctuelle. Pour supprimer les clusters d'origine, vous devez d'abord supprimer chaque cluster du cluster global, puis le supprimer.

Important

Vous ne pouvez pas modifier la clé KMS d'un cluster chiffré une fois que vous l'avez déjà créé. Assurez-vous donc de déterminer vos besoins en termes de clés de chiffrement avant de créer votre cluster chiffré.

Using the AWS Management Console

Vous spécifiez l'option chiffrement au repos lorsque vous créez un cluster. Le chiffrement au repos est activé par défaut lorsque vous créez un cluster à l'aide de la AWS Management Console. Il ne peut pas être modifié après la création du cluster.

Pour spécifier l'option de chiffrement au repos, lors de la création de votre cluster

  1. Créez un cluster Amazon DocumentDB comme décrit dans la section Getting Started. Toutefois, à l'étape 6, ne choisissez pas Create cluster (Créer un cluster).

  2. Sous la section Authentication (Authentification ), choisissez Show advanced settings (Afficher les paramètres avancés).

  3. Faites défiler la page jusqu'à la Encryption-at-restsection.

  4. Choisissez l'option souhaitée pour le chiffrement au repos. Quelle que soit l'option choisie, vous ne pouvez pas la modifier après la création du cluster.

    • Pour chiffrer les données au repos dans ce cluster, choisissez Enable encryption (Activer le chiffrement).

    • Si vous ne souhaitez pas chiffrer les données au repos dans ce cluster, choisissez Disable encryption (Désactiver le chiffrement).

  5. Choisissez la clé primaire que vous souhaitez. Amazon DocumentDB utilise le AWS Key Management Service (AWS KMS) pour récupérer et gérer les clés de chiffrement, et pour définir les politiques qui contrôlent la manière dont ces clés peuvent être utilisées. Si vous ne spécifiez aucun identifiant de AWS KMS clé, Amazon DocumentDB utilise la clé KMS du service AWS géré par défaut. Pour plus d'informations, consultez Concepts AWS Key Management Service.

    Note

    Une fois que vous avez créé un cluster chiffré, vous ne pouvez pas modifier la clé KMS de ce cluster. Assurez-vous donc de déterminer vos besoins en termes de clés de chiffrement avant de créer votre cluster chiffré.

  6. Complétez les autres sections selon vos besoins et créez votre cluster.

Using the AWS CLI

Pour chiffrer un cluster Amazon DocumentDB à l'aide de, exécutez AWS CLI la commande et spécifiez create-db-cluster--storage-encryptedl'option. Les clusters Amazon DocumentDB créés à l'aide de l'option AWS CLI Ne pas activer le chiffrement du stockage par défaut.

L'exemple suivant crée un cluster Amazon DocumentDB avec le chiffrement du stockage activé.

Dans les exemples suivants, remplacez chacun user input placeholder par les informations de votre cluster.

Exemple

Pour Linux, macOS ou Unix :

aws docdb create-db-cluster \
  --db-cluster-identifier mydocdbcluster \
  --port 27017 \
  --engine docdb \
  --master-username SampleUser1 \
  --master-user-password primaryPassword \
  --storage-encrypted

Pour Windows :

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted

Lorsque vous créez un cluster Amazon DocumentDB chiffré, vous pouvez spécifier un identifiant de AWS KMS clé, comme dans l'exemple suivant.

Exemple

Pour Linux, macOS ou Unix :

aws docdb create-db-cluster \
  --db-cluster-identifier SampleUser1 \
  --port 27017 \
  --engine docdb \
  --master-username primaryUsername \
  --master-user-password yourPrimaryPassword \
  --storage-encrypted \
  --kms-key-id key-arn-or-alias

Pour Windows :

aws docdb create-db-cluster ^
  --db-cluster-identifier SampleUser1 ^
  --port 27017 ^
  --engine docdb ^
  --master-username SampleUser1 ^
  --master-user-password primaryPassword ^
  --storage-encrypted ^
  --kms-key-id key-arn-or-alias
Note

Une fois que vous avez créé un cluster chiffré, vous ne pouvez pas modifier la clé KMS de ce cluster. Assurez-vous donc de déterminer vos besoins en termes de clés de chiffrement avant de créer votre cluster chiffré.

Résolution d'un cluster Amazon DocumentDB dans un état de chiffrement inaccessible

Un cluster Amazon DocumentDB passe à un état de chiffrement inaccessible lorsqu'Amazon DocumentDB ne peut pas accéder à la clé KMS avec laquelle le cluster a été chiffré. Il existe deux états de ce type, et le chemin de restauration dépend de celui dans lequel se trouve le cluster.

État inaccessible-encryption-credentials-recoverable

Lorsque le cluster est en inaccessible-encryption-credentials-recoverable état, vous pouvez le rétablir en available rétablissant l'accès d'Amazon DocumentDB à la clé KMS, puis en démarrant le cluster. Pour résoudre ce problème, procédez comme suit :

  1. Vérifiez Compte AWS que le propriétaire de la clé KMS est actif. Si le compte est suspendu, réactivez-le.

  2. Vérifiez que la clé KMS est activée. Pour plus d'informations, consultez la section Activation et désactivation des clés dans le guide du AWS Key Management Service développeur.

  3. Vérifiez si la suppression de la clé KMS est planifiée. Si tel est le cas, annulez la suppression planifiée de la clé. Pour plus d'informations, consultez la section Planification et annulation de la suppression de clés dans le Guide du AWS Key Management Service développeur.

  4. Vérifiez que la politique relative aux clés KMS et toutes les autorisations sur lesquelles repose Amazon DocumentDB autorisent toujours Amazon DocumentDB à utiliser la clé.

  5. Une fois l'accès à la clé KMS restauré, démarrez le cluster à l'aide de la commande AWS Management Console ou en exécutant la start-db-cluster AWS CLI commande.

    Exemple

    Pour Linux, macOS ou Unix :

    aws docdb start-db-cluster \
  --db-cluster-identifier example-cluster

    Pour Windows :

    aws docdb start-db-cluster ^
  --db-cluster-identifier example-cluster
Important

Si l'accès à la clé KMS n'est pas rétabli dans les 7 jours, le cluster passe à l'inaccessible-encryption-credentialsétat de terminal, à partir duquel il ne peut pas être démarré.

État inaccessible-encryption-credentials

Le inaccessible-encryption-credentials statut est terminal. Le cluster ne peut pas être démarré et l'état de fonctionnement de la base de données ne peut pas être rétabli. Pour récupérer vos données, effectuez une restauration à partir d'un instantané ou effectuez une restauration instantanée sur un nouveau cluster. Vous devez toujours avoir accès à la clé KMS d'origine pour effectuer la restauration. Si la clé KMS a été supprimée, les données ne peuvent pas être récupérées.

Pour plus d’informations, consultez Restauration à partir d'un instantané de cluster et Restaurer à un moment précis.

Note

Les clusters faisant partie d'un cluster global passent directement à l'inaccessible-encryption-credentialsétat lorsque l'accès à la clé KMS est perdu, car un cluster faisant partie d'un cluster global ne peut être arrêté et démarré que s'il s'agit du seul cluster du cluster global. Pour supprimer un cluster présentant cet état, supprimez d'abord chaque cluster du cluster global, puis supprimez les clusters individuellement.

Si vous ne pouvez pas supprimer un cluster dont le inaccessible-encryption-credentials statut est activé parce que la protection contre la suppression est activée, désactivez-la en utilisant le AWS CLI avant de réessayer de supprimer.

Exemple

Pour Linux, macOS ou Unix :

aws docdb modify-db-cluster \
  --db-cluster-identifier example-cluster \
  --no-deletion-protection

Pour Windows :

aws docdb modify-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --no-deletion-protection

Vous pouvez ensuite supprimer le cluster à l'aide de la delete-db-cluster commande.

Exemple

Pour Linux, macOS ou Unix :

aws docdb delete-db-cluster \
  --db-cluster-identifier example-cluster \
  --skip-final-snapshot

Pour Windows :

aws docdb delete-db-cluster ^
  --db-cluster-identifier example-cluster ^
  --skip-final-snapshot

Si le cluster n'est pas supprimé après avoir exécuté les commandes précédentes, contactez le AWS Support.

Limitations applicables aux clusters chiffrés Amazon DocumentDB

Les limitations suivantes s'appliquent aux clusters chiffrés Amazon DocumentDB.

  • Vous pouvez activer ou désactiver le chiffrement au repos pour un cluster Amazon DocumentDB uniquement au moment de sa création, et non après la création du cluster. Toutefois, vous pouvez créer une copie chiffrée d'un cluster non chiffré en créant un instantané du cluster non chiffré, puis en restaurant l'instantané non chiffré en tant que nouveau cluster tout en spécifiant l'option de chiffrement au repos.

    Pour plus d’informations, consultez les rubriques suivantes :

  • Les clusters Amazon DocumentDB sur lesquels le chiffrement du stockage est activé ne peuvent pas être modifiés pour désactiver le chiffrement.

  • Toutes les instances, les sauvegardes automatisées, les instantanés et les index d'un cluster Amazon DocumentDB sont chiffrés avec la même clé KMS.