Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Utilisation de clés gérées par le client dans Amazon QLDB Utilisation de clés gérées par le client Vous pouvez utiliser l'API AWS Management Console, le AWS Command Line Interface (AWS CLI) ou l'API QLDB pour spécifier les nouveaux registres et AWS KMS key les registres existants dans Amazon QLDB. Les rubriques suivantes décrivent comment gérer et surveiller l'utilisation de vos clés gérées par le client dans QLDB. **Topics** + [ ## Prérequis ](#encryption-at-rest.using-cust-keys.prereqs) + [ ## Spécifier le AWS KMS key pour un nouveau registre ](#encryption-at-rest.using-cust-keys.specify) + [ ## Mise à jour AWS KMS key d'un registre existant ](#encryption-at-rest.using-cust-keys.update) + [ ## Surveillance de votre AWS KMS keys ](#encryption-at-rest.using-cust-keys.monitor) ## Prérequis Avant de pouvoir protéger un registre QLDB avec une clé gérée par le client, vous devez d'abord créer la clé dans (). AWS Key Management Service AWS KMS Vous devez également spécifier une politique clé qui permet à QLDB de créer des subventions à AWS KMS key ce sujet en votre nom. **Création d'une clé gérée par le client** Pour créer une clé gérée par le client, suivez les étapes décrites dans la section [Création de clés KMS de chiffrement symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *guide du AWS Key Management Service développeur*. [QLDB ne prend pas en charge les clés asymétriques.](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) **Définition d'une politique de clé** Les politiques clés constituent le principal moyen de contrôler l'accès aux clés gérées par le client dans AWS KMS. Chaque clé gérée par le client doit avoir exactement une politique clé. Les déclarations dans le document de politique de clé déterminent qui a l'autorisation d'utiliser la clé KMS et la façon dont ils peuvent l'utiliser. Pour plus d'informations, consultez la section [Utilisation de politiques clés dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). Vous pouvez définir une politique clé lorsque vous créez votre clé gérée par le client. Pour modifier une politique clé pour une clé gérée par le client existante, voir [Modifier une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html). Pour autoriser QLDB à utiliser votre clé gérée par le client, la politique clé doit inclure des autorisations pour les actions suivantes : AWS KMS + [kms : CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Ajoute une [autorisation](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) à une clé gérée par le client. Accorde un accès de contrôle à une clé KMS spécifiée. Lorsque vous créez ou mettez à jour un registre avec une clé gérée par le client spécifiée, QLDB crée des autorisations qui permettent d'accéder aux opérations de [subvention dont elle a besoin](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations). Les opérations de subvention incluent les suivantes : + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [Decrypt (Déchiffrer)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [Encrypt (Chiffrer)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [kms : DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Renvoie des informations détaillées sur une clé gérée par le client. QLDB utilise ces informations pour valider la clé. **Exemple de politique clé** Voici un exemple de politique clé que vous pouvez utiliser pour QLDB. Cette politique permet aux principaux autorisés à utiliser QLDB depuis le `111122223333` compte d'appeler les opérations `CreateGrant` et sur `DescribeKey` la ressource. `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` Pour utiliser cette politique, remplacez *us-east-1**111122223333*, et *1234abcd-12ab-34cd-56ef-1234567890ab* dans l'exemple par vos propres informations. ``` { "Version": "2012-10-17", "Statement": [ { "Sid" : "Allow access to principals authorized to use Amazon QLDB", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource" : "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition" : { "StringEquals" : { "kms:ViaService" : "qldb.us-east-1.amazonaws.com", "kms:CallerAccount" : "111122223333" } } } ] } ``` ## Spécifier le AWS KMS key pour un nouveau registre Procédez comme suit pour spécifier une clé KMS lorsque vous créez un nouveau registre à l'aide de la console QLDB ou du. AWS CLI Vous pouvez spécifier une clé gérée par le client à l'aide d'un ID, d'un alias ou d'un Amazon Resource Name (ARN). Pour en savoir plus, consultez la section [Identifiants clés (KeyId)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) dans le *guide du AWS Key Management Service développeur*. **Note** Les clés inter-régions ne sont pas prises en charge. La clé KMS spécifiée doit être identique Région AWS à celle de votre registre. ### Création d'un registre (console) 1. [Connectez-vous à la AWS Management Console console Amazon QLDB et ouvrez-la à l'adresse /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb) 1. Choisissez **Create Ledger.** 1. Sur la page **Create Ledger**, procédez comme suit : + **Informations sur le registre** — Entrez un **nom de registre** unique parmi tous les livres du livre actuel Compte AWS et de la région. + **Mode autorisations** — Choisissez un mode d'autorisations à attribuer au registre : + **Tout autoriser** + **Standard** (*recommandé*) + **Chiffrer les données au repos** : choisissez le type de clé KMS à utiliser pour le chiffrement au repos : + **Utiliser une clé KMS AWS possédée** — Utilisez une clé KMS détenue et gérée par vous AWS en votre nom. Il s'agit de l'option par défaut qui ne nécessite aucune configuration supplémentaire. + **Choisissez une autre AWS KMS clé** : utilisez une clé KMS de chiffrement symétrique dans le compte que vous créez, possédez et gérez. Pour créer une nouvelle clé à l'aide de la AWS KMS console, choisissez **Créer une AWS KMS clé**. Pour plus d'informations, consultez [Création de clés KMS de chiffrement symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *Guide du développeur AWS Key Management Service *. Pour utiliser une clé KMS existante, choisissez-en une dans la liste déroulante ou spécifiez un ARN de clé KMS. 1. Lorsque les paramètres sont tels que vous le souhaitez, choisissez **Create ledger**. **Vous pouvez accéder à votre registre QLDB lorsque son statut devient Actif.** Cela peut prendre plusieurs minutes. ### Création d'un registre ()AWS CLI Utilisez le AWS CLI pour créer un registre dans QLDB avec la clé Clé détenue par AWS par défaut ou une clé gérée par le client. **Example — Pour créer un registre avec la valeur par défaut Clé détenue par AWS** ``` aws qldb create-ledger --name my-example-ledger --permissions-mode STANDARD ``` **Example — Pour créer un registre avec une clé gérée par le client** ``` aws qldb create-ledger \ --name my-example-ledger \ --permissions-mode STANDARD \ --kms-key arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab ``` ## Mise à jour AWS KMS key d'un registre existant Vous pouvez également utiliser la console QLDB ou mettre à jour AWS CLI la clé KMS d'un registre existant en une clé gérée par le client à Clé détenue par AWS tout moment. **Note** Amazon QLDB a lancé le support pour la AWS KMS keys gestion des clients le 22 juillet 2021. Tous les registres créés avant le lancement sont protégés Clés détenues par AWS par défaut, mais ne sont actuellement pas éligibles au chiffrement au repos à l'aide de clés gérées par le client. Vous pouvez consulter l'heure de création de votre registre sur la console QLDB. Les principales modifications apportées à QLDB sont asynchrones. Le registre est entièrement accessible sans aucun impact sur les performances pendant le traitement de la modification clé. Le temps nécessaire pour mettre à jour une clé varie en fonction de la taille du registre. Vous pouvez spécifier une clé gérée par le client à l'aide d'un ID, d'un alias ou d'un Amazon Resource Name (ARN). Pour en savoir plus, consultez la section [Identifiants clés (KeyId)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) dans le *guide du AWS Key Management Service développeur*. **Note** Les clés inter-régions ne sont pas prises en charge. La clé KMS spécifiée doit être identique Région AWS à celle de votre registre. ### Mettre à jour un registre (console) 1. [Connectez-vous à la AWS Management Console console Amazon QLDB et ouvrez-la à l'adresse /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb) 1. Dans le volet de navigation, choisissez **Ledgers**. 1. Dans la liste des livres, sélectionnez le livre que vous souhaitez mettre à jour, puis choisissez **Modifier** le registre. 1. Sur la page **Modifier le registre**, choisissez le type de clé KMS à utiliser pour le chiffrement au repos : + **Utiliser une clé KMS AWS possédée** — Utilisez une clé KMS détenue et gérée par vous AWS en votre nom. Il s'agit de l'option par défaut qui ne nécessite aucune configuration supplémentaire. + **Choisissez une autre AWS KMS clé** : utilisez une clé KMS de chiffrement symétrique dans le compte que vous créez, possédez et gérez. Pour créer une nouvelle clé à l'aide de la AWS KMS console, choisissez **Créer une AWS KMS clé**. Pour plus d'informations, consultez [Création de clés KMS de chiffrement symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *Guide du développeur AWS Key Management Service *. Pour utiliser une clé KMS existante, choisissez-en une dans la liste déroulante ou spécifiez un ARN de clé KMS. 1. Choisissez **Confirmer les modifications**. ### Mettre à jour un registre ()AWS CLI Utilisez le AWS CLI pour mettre à jour un registre existant dans QLDB avec la clé Clé détenue par AWS par défaut ou une clé gérée par le client. **Example — Pour mettre à jour un registre avec la valeur par défaut Clé détenue par AWS** ``` aws qldb update-ledger --name my-example-ledger --kms-key AWS_OWNED_KMS_KEY ``` **Example — Pour mettre à jour un registre avec une clé gérée par le client** ``` aws qldb update-ledger \ --name my-example-ledger \ --kms-key arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab ``` ## Surveillance de votre AWS KMS keys Si vous utilisez une clé gérée par le client pour protéger vos registres Amazon QLDB, vous pouvez utiliser [ CloudWatch Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) Logs pour [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)suivre les demandes auxquelles QLDB envoie en votre nom. AWS KMS Pour plus d'informations, consultez la section [Surveillance AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html) dans le *guide du AWS Key Management Service développeur*. Les exemples suivants sont des entrées de CloudTrail journal pour les opérations `CreateGrant``GenerateDataKey`,`Decrypt`,`Encrypt`, et`DescribeKey`. **CreateGrant** Lorsque vous spécifiez une clé gérée par le client pour protéger votre registre, QLDB `CreateGrant` envoie des demandes en votre nom pour autoriser l'accès AWS KMS à votre clé KMS. En outre, QLDB utilise cette opération pour supprimer `RetireGrant` des autorisations lorsque vous supprimez un registre. Les autorisations créées par QLDB sont spécifiques à un registre. Le principal de la `CreateGrant` demande est l'utilisateur qui a créé la table. L'événement qui enregistre l'opération `CreateGrant` est similaire à l'exemple d'événement suivant. Les paramètres incluent l'Amazon Resource Name (ARN) de la clé gérée par le client, le principal du bénéficiaire et le principal sortant (le service QLDB), ainsi que les opérations couvertes par la subvention. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE:sample-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/sample-user", "accountId": "111122223333", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admin", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-06-04T21:37:11Z" } }, "invokedBy": "qldb.amazonaws.com" }, "eventTime": "2021-06-04T21:40:00Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "qldb.amazonaws.com", "userAgent": "qldb.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "granteePrincipal": "qldb.us-west-2.amazonaws.com", "operations": [ "DescribeKey", "GenerateDataKey", "Decrypt", "Encrypt" ], "retiringPrincipal": "qldb.us-west-2.amazonaws.com" }, "responseElements": { "grantId": "b3c83f999187ccc0979ef2ff86a1572237b6bba309c0ebce098c34761f86038a" }, "requestID": "e99188d7-3b82-424e-b63e-e086d848ed60", "eventID": "88dc7ba5-4952-4d36-9ca8-9ab5d9598bab", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" } ``` **GenerateDataKey** Lorsque vous spécifiez une clé gérée par le client pour protéger votre registre, QLDB crée une clé de données unique. Il envoie une `GenerateDataKey` demande AWS KMS qui spécifie la clé gérée par le client pour le registre. L'événement qui enregistre l'opération `GenerateDataKey` est similaire à l'exemple d'événement suivant. L'utilisateur est le compte de service QLDB. Les paramètres incluent l'ARN de la clé gérée par le client, un spécificateur de clé de données qui nécessite une longueur de 32 octets et le contexte de chiffrement qui identifie le nœud interne de hiérarchie des clés. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "qldb.amazonaws.com" }, "eventTime": "2021-06-04T21:40:01Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "qldb.amazonaws.com", "userAgent": "qldb.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "numberOfBytes": 32, "encryptionContext": { "key-hierarchy-node-id": "LY4HWMnkeZWKYi6MlitVJC", "key-hierarchy-node-version": "1" } }, "responseElements": null, "requestID": "786977c9-e77c-467a-bff5-9ad5124a4462", "eventID": "b3f082cb-3e75-454e-bf0a-64be13075436", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333", "sharedEventID": "26688de5-0b1c-43d3-bc4f-a18029b08446" } ``` **Decrypt** Lorsque vous accédez à un registre, QLDB appelle `Decrypt` l'opération pour déchiffrer la clé de données stockée dans le registre afin de pouvoir accéder aux données cryptées du registre. L'événement qui enregistre l'opération `Decrypt` est similaire à l'exemple d'événement suivant. L'utilisateur est le compte de service QLDB. Les paramètres incluent l'ARN de la clé gérée par le client et le contexte de chiffrement qui identifie le nœud interne de hiérarchie des clés. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "qldb.amazonaws.com" }, "eventTime": "2021-06-04T21:40:56Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "qldb.amazonaws.com", "userAgent": "qldb.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "key-hierarchy-node-id": "LY4HWMnkeZWKYi6MlitVJC", "key-hierarchy-node-version": "1" } }, "responseElements": null, "requestID": "28f2dd18-3cc1-4fe2-82f7-5154f4933ebf", "eventID": "603ad5d4-4744-4505-9c21-bd4a6cbd4b20", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333", "sharedEventID": "7b6ce3e3-a764-42ec-8f90-5418c97ec411" } ``` **Encrypt** QLDB appelle l'opération pour crypter `Encrypt` le texte brut en texte chiffré à l'aide de votre clé gérée par le client. L'événement qui enregistre l'opération `Encrypt` est similaire à l'exemple d'événement suivant. L'utilisateur est le compte de service QLDB. Les paramètres incluent l'ARN de la clé gérée par le client et le contexte de chiffrement qui spécifie l'identifiant unique interne du registre. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "qldb.amazonaws.com" }, "eventTime": "2021-06-04T21:40:01Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "us-west-2", "sourceIPAddress": "qldb.amazonaws.com", "userAgent": "qldb.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "encryptionContext": { "LedgerId": "F6qRNziJLUXA4Vy2ZUv8YY" }, "encryptionAlgorithm": "SYMMETRIC_DEFAULT" }, "responseElements": null, "requestID": "b2daca7d-4606-4302-a2d7-5b3c8d30c64d", "eventID": "b8aace05-2e37-4fed-ae6f-a45a1c6098df", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333", "sharedEventID": "ce420ab0-288e-4b4f-aee8-541e18a28aa5" } ``` **DescribeKey** QLDB appelle `DescribeKey` l'opération pour déterminer si la clé KMS que vous avez spécifiée existe dans Compte AWS la région et. L'événement qui enregistre l'opération `DescribeKey` est similaire à l'exemple d'événement suivant. Le principal est l'utilisateur Compte AWS qui a spécifié la clé KMS. Les paramètres incluent l'ARN de la clé gérée par le client. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE:sample-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/sample-user", "accountId": "111122223333", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admin", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-06-04T21:37:11Z" } }, "invokedBy": "qldb.amazonaws.com" }, "eventTime": "2021-06-04T21:40:00Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-west-2", "sourceIPAddress": "qldb.amazonaws.com", "userAgent": "qldb.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "requestID": "a30586af-c783-4d25-8fda-33152c816c36", "eventID": "7a9caf07-2b27-44ab-afe4-b259533ebb88", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" } ```