Comment Amazon Managed Grafana utilise les subventions dans AWS KMS Étape 1 : Créer une clé gérée par le client Étape 2 : Spécification d'une clé gérée par le client pour Amazon Managed Grafana Surveillance de vos clés de chiffrement pour Amazon Managed Grafana En savoir plus

Chiffrement au repos

Par défaut, Amazon Managed Grafana vous fournit automatiquement le chiffrement au repos, en utilisant les clés de chiffrement que vous AWS possédez.

AWS clés détenues : Amazon Managed Grafana utilise ces clés pour chiffrer automatiquement les données de votre espace de travail. Vous ne pouvez pas consulter, gérer ou utiliser AWS les clés que vous possédez, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section AWS-owned keys dans le guide du AWS KMS développeur.

Le chiffrement au repos permet de réduire la charge opérationnelle et la complexité liées à la protection des données sensibles des clients, telles que les informations personnelles identifiables. Il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.

Vous pouvez également choisir d'utiliser une clé gérée par le client lorsque vous créez votre espace de travail :

Clés gérées par le client — Amazon Managed Grafana prend en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez pour chiffrer les données de votre espace de travail. Étant donné que vous avez le contrôle total du chiffrement, vous pouvez effectuer les tâches suivantes :
- Établissement et gestion des stratégies de clé
- Établissement et gestion des politiques IAM et des octrois
- Activation et désactivation des stratégies de clé
- Rotation des matériaux de chiffrement de clé
- Ajout de balises
- Création d’alias de clé
- Planification des clés pour la suppression

Pour plus d'informations, consultez les clés gérées par le client dans le guide du AWS KMS développeur et Qu'est-ce que c'est AWS KMS ?

Choisissez d'utiliser avec soin les clés gérées par le client ou les clés AWS détenues par le client. Les espaces de travail créés avec des clés gérées par le client ne peuvent pas être convertis ultérieurement pour utiliser des clés AWS détenues (et vice versa).

Note

Amazon Managed Grafana active automatiquement le chiffrement au repos à l'aide de clés AWS détenues afin de protéger gratuitement vos données.
Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d’informations sur la tarification, consultez Tarification d’AWS KMS.

Important

Si vous désactivez la clé gérée par le client ou si vous supprimez l'accès à Amazon Managed Grafana dans la politique relative aux clés, votre espace de travail deviendra inaccessible. L'espace de travail restera dans un ACTIVE état mais sera fonctionnellement indisponible. Vous disposez de 7 jours pour rétablir l'accès en réactivant la clé ou en rétablissant la politique relative aux clés. Après 7 jours, l'espace de travail passera à un FAILED état et ne pourra être que supprimé.
La planification de la suppression d'une clé AWS KMS comporte une période d'attente minimale de 7 jours avant que la clé ne soit supprimée. Une fois qu'une clé est supprimée, elle ne peut pas être restaurée et tout espace de travail chiffré avec cette clé perdra définitivement l'accès à ses données.
Le chiffrement par clé géré par le client n'est disponible que lors de la création de nouveaux espaces de travail. Les espaces de travail existants ne peuvent pas être convertis pour utiliser des clés gérées par le client.
Vous ne pouvez pas modifier la clé gérée par le client d'un espace de travail après sa création.

Comment Amazon Managed Grafana utilise les subventions dans AWS KMS

Amazon Managed Grafana nécessite des autorisations pour utiliser votre clé gérée par le client.

Lorsque vous créez un espace de travail Amazon Managed Grafana chiffré à l'aide d'une clé gérée par le client, Amazon Managed Grafana crée des subventions en votre nom en envoyant des demandes à. CreateGrant AWS KMS Les subventions AWS KMS sont utilisées pour permettre à Amazon Managed Grafana d'accéder à la clé KMS de votre compte, même si vous n'êtes pas appelé directement en votre nom (par exemple, lors du stockage des données du tableau de bord ou des configurations utilisateur).

Amazon Managed Grafana a besoin des autorisations nécessaires pour utiliser votre clé gérée par le client pour les opérations internes suivantes :

Envoyez CreateGrantdes demandes AWS KMS à pour créer des subventions supplémentaires si nécessaire.
Envoyez DescribeKeydes demandes AWS KMS à pour vérifier que la clé KMS symétrique gérée par le client fournie lors de la création d'un espace de travail est valide.
Envoyer ReEncryptTo et demander ReEncryptFrom AWS KMS à rechiffrer les données lorsque vous passez d'un contexte de chiffrement à un autre.
Envoyez des demandes de chiffrement AWS KMS à pour chiffrer les données directement avec la clé gérée par le client.
Envoyez des demandes de déchiffrement AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.
Envoyez GenerateDataKeydes demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client.
Envoyez GenerateDataKeyWithoutPlaintextdes demandes AWS KMS à pour générer des clés de données chiffrées sans renvoyer la version en texte brut.
Envoyez RetireGrantdes demandes AWS KMS de retrait des subventions qui ne sont plus nécessaires.

Amazon Managed Grafana crée des subventions pour la AWS KMS clé qui permettent à Amazon Managed Grafana d'utiliser la clé en votre nom. Vous pouvez supprimer l'accès à la clé en modifiant la politique relative aux clés, en désactivant la clé ou en révoquant l'attribution. Vous devez comprendre les conséquences de ces actions avant de les exécuter. Cela peut entraîner une perte de données dans votre espace de travail.

Si vous supprimez l'accès à l'une des subventions de quelque manière que ce soit, Amazon Managed Grafana ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ni stocker les nouvelles données envoyées à l'espace de travail, ce qui affectera les opérations qui dépendent de ces données. Les nouvelles mises à jour de l'espace de travail ne seront pas accessibles et risquent d'être définitivement perdues.

Avertissement

Si vous désactivez la clé ou si vous supprimez l'accès à Amazon Managed Grafana dans la politique relative aux clés, les données de l'espace de travail ne sont plus accessibles. L'espace de travail restera dans un ACTIVE état mais sera fonctionnellement indisponible. Les nouvelles mises à jour envoyées à l'espace de travail ne seront pas accessibles et risquent d'être définitivement perdues. Vous pouvez rétablir l'accès aux données de l'espace de travail et recommencer à recevoir de nouvelles données en réactivant la clé ou en rétablissant l'accès à la clé par Amazon Managed Grafana dans les 7 jours. Après 7 jours sans accès, l'espace de travail passera à un FAILED état.
Si vous programmez la suppression de la clé dans AWS KMS, elle sera supprimée après le délai d'attente obligatoire de 7 jours. Une fois supprimée, la clé ne peut pas être restaurée et les données de l'espace de travail seront définitivement inaccessibles.
Si vous révoquez une attribution, elle ne peut pas être recréée et les données de l'espace de travail sont définitivement perdues.
Amazon Managed Grafana crée des allocations familiales supplémentaires via Amazon RDS en raison de sa dépendance à l'égard de RDS pour le stockage des données. La révocation de ces subventions liées au RDS aura le même effet permanent de perte de données que la révocation des subventions principales de Grafana.

Étape 1 : Créer une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client à l'aide de la console AWS de gestion ou du AWS KMS APIs. La clé doit se trouver dans la même région que l'espace de travail Amazon Managed Grafana et doit être une clé symétrique avec utilisation des ENCRYPT_DECRYPT clés.

Pour créer une clé symétrique gérée par le client

Suivez les étapes de la rubrique Création d'une clé symétrique gérée par le client dans le Guide du développeur AWS KMS .

Stratégie de clé

Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez Gestion de l'accès aux clés gérées par le client dans le Guide du développeur AWS KMS .

Pour utiliser votre clé gérée par le client avec vos espaces de travail Amazon Managed Grafana, les opérations d'API suivantes doivent être autorisées dans la politique relative aux clés :

kms : CreateGrant — Ajoute une autorisation à une clé gérée par le client. Accorde un accès de contrôle à une clé KMS spécifiée, ce qui permet d'accéder aux opérations de subvention requises par Amazon Managed Grafana. Pour plus d'informations, consultez Utilisation des attributions dans le Guide du développeur AWS KMS . Cela permet à Amazon Managed Grafana d'effectuer les opérations suivantes :
- Appelez GenerateDataKey pour générer une clé de données cryptée et la stocker.
- Appelez Decrypt pour utiliser la clé de données chiffrée stockée afin d’accéder aux données chiffrées.
kms : DescribeKey — Fournit les informations relatives à la clé gérée par le client pour permettre à Amazon Managed Grafana de valider la clé.

Voici des exemples de déclarations de politique que vous pouvez ajouter pour Amazon Managed Grafana :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}

Pour plus d'informations sur la spécification des autorisations dans une politique, consultez le Guide du développeur du service de gestion des AWS clés.
Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez le Guide du développeur du service de gestion des AWS clés.

Étape 2 : Spécification d'une clé gérée par le client pour Amazon Managed Grafana

Lorsque vous créez un espace de travail, vous pouvez spécifier la clé gérée par le client en saisissant un ARN de clé KMS, qu'Amazon Managed Grafana utilise pour chiffrer les données stockées par l'espace de travail.

Utilisation de la console AWS de gestion

Ouvrez la console Amazon Managed Grafana à l'adresse. https://console.aws.amazon.com/grafana/
Choisissez Create workspace.
Dans la section Chiffrement, sélectionnez Clé gérée par le client.
Entrez l'ARN de votre clé gérée par le client dans le champ ARN de la clé KMS.
Terminez la configuration de l'espace de travail restante et choisissez Créer un espace de travail.

En utilisant le AWS CLI

Vous pouvez spécifier une clé gérée par le client lors de la création d'un espace de travail à l'aide du --kms-key-id paramètre :


aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"

Surveillance de vos clés de chiffrement pour Amazon Managed Grafana

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos espaces de travail Amazon Managed Grafana, vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes auxquelles Amazon Managed Grafana envoie. AWS KMS

Les exemples suivants sont AWS CloudTrail des événements pourCreateGrant, DescribeKeyGenerateDataKey, et Decrypt pour surveiller les opérations KMS appelées par Amazon Managed Grafana pour accéder aux données chiffrées par votre clé gérée par le client :

CreateGrant

Lorsque vous utilisez une clé gérée par le AWS KMS client pour chiffrer votre espace de travail, Amazon Managed Grafana CreateGrant envoie des demandes en votre nom pour accéder à la clé KMS que vous avez spécifiée. Les autorisations créées par Amazon Managed Grafana sont spécifiques à la ressource associée à la clé gérée par le AWS KMS client.

L'exemple d'événement suivant enregistre une opération CreateGrant :


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

DescribeKey

Amazon Managed Grafana utilise cette DescribeKey opération pour vérifier si la clé gérée par le AWS KMS client associée à votre espace de travail existe dans le compte et dans la région.

L’exemple d’événement suivant enregistre l’opération DescribeKey :


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

GenerateDataKey

Amazon Managed Grafana utilise cette GenerateDataKey opération pour générer des clés de données utilisées pour chiffrer les données de l'espace de travail.

L’exemple d’événement suivant enregistre l’opération GenerateDataKey :


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

Decrypt

Amazon Managed Grafana utilise cette Decrypt opération pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour déchiffrer les données de l'espace de travail.

L’exemple d’événement suivant enregistre l’opération Decrypt :


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

En savoir plus

Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos.

Pour plus d'informations sur AWS KMS les concepts de base, consultez le guide du AWS KMS développeur.
Pour plus d'informations sur les meilleures pratiques de sécurité pour AWS KMS, consultez le guide du AWS KMS développeur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Contrôle d'accès au réseau

Connectez-vous aux données dans Amazon VPC