Chiffrement au repos dans Amazon QLDB

Important

Avis de fin de support : les clients existants pourront utiliser Amazon QLDB jusqu'à la fin du support le 31 juillet 2025. Pour plus de détails, consultez Migrer un registre Amazon QLDB vers Amazon Aurora PostgreSQL.

Toutes les données stockées dans Amazon QLDB sont entièrement chiffrées au repos par défaut. Le chiffrement QLDB au repos fournit une sécurité renforcée en chiffrant toutes les données du registre au repos à l'aide des clés de chiffrement dans (). AWS Key Management Service AWS KMS Cette fonctionnalité réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Avec le chiffrement au repos, vous pouvez créer des applications de registre sensibles à la sécurité qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.

Le chiffrement au repos s'intègre AWS KMS à la gestion de la clé de chiffrement utilisée pour protéger vos registres QLDB. Pour plus d'informations AWS KMS, consultez AWS Key Management Service les concepts du Guide du AWS Key Management Service développeur.

Dans QLDB, vous pouvez spécifier le type de pour chaque ressource AWS KMS key de registre. Lorsque vous créez un nouveau registre ou que vous mettez à jour un registre existant, vous pouvez choisir l'un des types de clés KMS suivants pour protéger les données de votre registre :

Clé détenue par AWS— Type de cryptage par défaut. La clé appartient à QLDB (sans frais supplémentaires).
Clé gérée par le client : la clé est stockée dans votre ordinateur Compte AWS et vous l'avez créée, détenue et gérée. Vous avez le contrôle total de la clé (AWS KMS des frais s'appliquent).

Note

Amazon QLDB a lancé le support pour la AWS KMS keys gestion des clients le 22 juillet 2021. Tous les registres créés avant le lancement sont protégés Clés détenues par AWS par défaut, mais ne sont actuellement pas éligibles au chiffrement au repos à l'aide de clés gérées par le client.

Vous pouvez consulter l'heure de création de votre registre sur la console QLDB.

Lorsque vous accédez à un registre, QLDB déchiffre les données de manière transparente. Vous pouvez basculer entre la clé gérée par le client Clé détenue par AWS et la clé gérée par le client à tout moment. Il n'est pas nécessaire de modifier le code ou les applications pour utiliser ou gérer des données chiffrées.

Vous pouvez spécifier une clé de chiffrement lorsque vous créez un nouveau registre ou que vous modifiez la clé de chiffrement d'un registre existant à l'aide de l' AWS Management Console API QLDB ou du (). AWS Command Line Interface AWS CLI Pour de plus amples informations, veuillez consulter Utilisation de clés gérées par le client dans Amazon QLDB.

Note

Par défaut, Amazon QLDB active automatiquement le chiffrement au repos, sans frais Clés détenues par AWS supplémentaires. Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d’informations sur la tarification, consultez Tarification AWS Key Management Service.

Le chiffrement QLDB au repos est disponible partout Régions AWS où QLDB est disponible.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Protection des données

Comment ça marche