Fonctionnement du chiffrement au repos dans Amazon QLDB - Amazon Quantum Ledger Database (Amazon QLDB)
Clé détenue par AWSClé gérée par le clientComment QLDB utilise les subventionsRestaurer les subventionsConsidérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement du chiffrement au repos dans Amazon QLDB

Le chiffrement QLDB au repos chiffre vos données à l'aide d'un chiffrement Advanced Encryption Standard 256 bits (AES-256). Cela permet de sécuriser vos données contre tout accès non autorisé au stockage sous-jacent. Toutes les données stockées dans les registres QLDB sont chiffrées au repos par défaut. Le chiffrement côté serveur est transparent, ce qui signifie qu'il n'est pas nécessaire de modifier les applications.

Le chiffrement au repos s'intègre dans AWS Key Management Service (AWS KMS) pour la gestion de la clé de chiffrement utilisée pour protéger vos registres QLDB. Lorsque vous créez un nouveau registre ou mettez à jour un registre existant, vous pouvez choisir un des types de AWS KMS clés suivants :

  • Clé détenue par AWS— Type de cryptage par défaut. La clé est détenue par QLDB (sans frais supplémentaires).

  • Clé gérée par le client — La clé Compte AWS et stockée dans votre. Elle est créée, détenue et gérée par vous. Vous disposez d'un contrôle total sur la clé (AWS KMS des frais s'appliquent).

Clé détenue par AWS

Clés détenues par AWS ne sont pas stockés dans votre Compte AWS. Elles font partie d'un ensemble de clés KMS qu' AWS possède et gère pour une utilisation dans plusieurs Comptes AWS. Services AWS peut être utilisé Clés détenues par AWS pour protéger vos données.

Vous n'avez pas besoin de créer ou de gérer Clés détenues par AWS. Toutefois, vous ne pouvez pas afficher Clés détenues par AWS, suivre ou vérifier leur utilisation. Les clés n'occasionnent aucuns frais mensuels ou d'utilisation Clés détenues par AWS, et ne sont pas prises en compte dans le calcul AWS KMS des quotas pour votre compte.

Pour plus d’informations, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service .

Clé gérée par le client

Les clés gérées par le client sont des clés KMS de votre Compte AWS que vous créez, possédez et gérez. Vous disposez d'un contrôle total sur ces clés KMS. QLDB prend uniquement en charge que les clés KMS de chiffrement symétriques.

Utilisez une clé gérée par le client pour obtenir les fonctions suivantes.

  • Configuration et gestion des politiques de clé, des politiques IAM et des octrois pour contrôler l'accès à la clé

  • Activation et désactivation de la clé

  • Matériau cryptographique rotatif pour la clé

  • Création de tags clés et d'alias

  • Planification de la suppression de la clé

  • Importation de votre propre matériel clé ou utilisation d'un magasin de clés personnalisé que vous possédez et gérez.

  • Utilisation AWS CloudTrail d'Amazon CloudWatch Logs pour effectuer le suivi des demandes que QLDB envoie AWS KMS pour vous à

Pour plus d'informations, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service (langue française non garantie).

Les clés gérées par le client sont facturées pour chaque appel d'API et des AWS KMS quotas s'appliquent à ces clés KMS. Pour de plus amples informations, veuillez consulter Quotas de AWS KMS ressources ou de demandes.

Lorsque vous spécifiez une clé gérée par le client comme clé KMS pour un registre, toutes les données du registre dans le stockage du journal et dans le stockage indexé sont protégées par la même clé.

Clés gérées par le client inaccessibles

Si vous désactivez votre clé gérée par le client, planifiez sa suppression ou révoquez les autorisations relatives à la clé, le statut du chiffrement de votre registre devient le même. KMS_KEY_INACCESSIBLE Dans cet état, le registre est altéré et n'accepte aucune demande de lecture ou d'écriture. Une clé inaccessible empêche tous les utilisateurs et le service QLDB de chiffrer ou de déchiffrer les données et d'effectuer des opérations de lecture et d'écriture dans le registre. QLDB doit avoir accès à votre clé KMS pour vous permettre de continuer à accéder à votre registre et vous éviter de perdre des données.

Important

Un registre altéré revient automatiquement à l'état actif une fois que vous avez rétabli les autorisations sur la clé ou après avoir réactivé la clé qui a été désactivée.

Cependant, la suppression d'une clé gérée par le client est irréversible. Après la suppression d'une clé, vous ne pouvez plus accéder aux registres protégés par cette clé, et les données deviennent irrécupérables de façon permanente.

Pour vérifier l'état de chiffrement d'un registre, utilisez l'opération AWS Management Console ou l'DescribeLedgerAPI.

Comment Amazon QLDB utilise les subventions dans AWS KMS

QLDB nécessite des autorisations pour utiliser votre clé gérée par le client. Lorsque vous créez un registre protégé par une clé gérée par le client, QLDB crée des subventions en votre nom en envoyant des demandes à. CreateGrant AWS KMS Les octrois dans AWS KMS sont utilisés pour accorder à QLDB un accès QLDB à une clé KMS chez un client. Compte AWS Pour plus d'informations, consultez Utilisation des attributions dans le Guide du développeur AWS Key Management Service .

QLDB a besoin des autorisations pour utiliser votre clé gérée par le client pour les opérations suivantes : AWS KMS

  • DescribeKey— Vérifiez que la clé KMS de chiffrement symétrique spécifiée est valide.

  • GenerateDataKey— Générez une clé de données symétrique unique que QLDB utilise pour chiffrer les données au repos dans votre registre.

  • Déchiffrer : déchiffrez la clé de données chiffrée par votre clé gérée par le client.

  • Chiffrer — Chiffrez le texte brut en texte chiffré à l'aide de la clé gérée par le client.

Vous pouvez révoquer une octroi pour supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, la clé devient inaccessible et QLDB perd l'accès à toutes les données du registre protégées par la clé gérée par le client. Dans cet état, le registre est altéré et n'accepte aucune demande de lecture ou d'écriture tant que vous n'avez pas rétabli les autorisations sur la clé.

Rétablir les subventions dans AWS KMS

Pour rétablir les autorisations sur une clé gérée par le client et récupérer l'accès à un registre dans QLDB, vous pouvez mettre à jour le registre et spécifier la même clé KMS. Pour obtenir des instructions, veuillez consulter Mise à jour AWS KMS key d'un registre existant.

Considérations relatives au chiffrement au repos

Lorsque vous utilisez un chiffrement au repos dans QLDB, tenez compte des considérations suivantes :

  • Le chiffrement au repos côté serveur est activé par défaut sur toutes les données de registre QLDB et ne peut pas être désactivé. Vous ne pouvez pas chiffrer uniquement un sous-ensemble de données dans un registre.

  • La fonction de chiffrement au repos chiffre uniquement les données lorsque qu'elles sont statiques (au repos) sur un support de stockage permanent. Si la sécurité des données est un problème pour les données en transit ou en cours d'utilisation, vous devrez peut-être prendre les mesures supplémentaires suivantes :

    • Données en transit : toutes vos données dans QLDB sont chiffrées en transit. Par défaut, les communications avec QLDB utilisent le protocole HTTPS qui protège le trafic réseau à l'aide du chiffrement Secure Sockets Layer (SSL) /Transport Layer Security (TLS).

    • Données en cours d'utilisation : protégez vos données avant de les envoyer à QLDB à l'aide d'un chiffrement côté client.

Pour savoir comment implémenter des clés gérées par le client pour les registres, passez àUtilisation de clés gérées par le client dans Amazon QLDB.