Présentation des clés de chiffrement gérées par le client (CMEK) sur Zilliz Cloud
À mesure que les entreprises mettent davantage de charges de travail d’IA en production, les bases de données vectorielles se retrouvent de plus en plus derrière des applications critiques telles que le RAG, la recherche sémantique et les agents IA. Ces charges de travail s’appuient souvent sur un contexte métier sensible ; les équipes de sécurité ont donc besoin de contrôles clairs sur la manière dont les données sont chiffrées, dont les clés sont gérées, et dont les accès peuvent être audités ou révoqués.
Zilliz Cloud chiffre déjà les données au repos par défaut à l’aide d’AES-256. Aujourd’hui, nous ajoutons une couche supplémentaire de contrôle client avec la disponibilité générale des Customer-Managed Encryption Keys (CMEK) sur Zilliz Cloud.
Avec CMEK, les clients peuvent apporter et gérer leurs propres clés dans AWS Key Management Service (KMS). Cela donne aux équipes sécurité et conformité une maîtrise directe de la gestion du cycle de vie des clés, des politiques d’accès, des journaux d’audit et des contrôles de révocation, tout en continuant à utiliser Zilliz Cloud comme base de données vectorielle entièrement gérée.
Pourquoi les équipes d’entreprise veulent un contrôle direct des clés
Le chiffrement par défaut géré par la plateforme constitue une base importante pour tout service cloud géré. Pour de nombreuses charges de travail, il offre une protection solide sans ajouter de complexité opérationnelle pour le client.
Cependant, certains environnements d’entreprise et réglementés exigent un niveau plus élevé de contrôle client. Les équipes de sécurité peuvent devoir gérer les clés dans leur propre compte cloud, séparer la propriété des clés du traitement des données, surveiller l’utilisation des clés dans leurs systèmes d’audit existants, ou révoquer l’accès sans ouvrir de ticket de support ni dépendre d’un workflow côté fournisseur.
CMEK est conçu pour ces équipes. Il conserve l’expérience de base de données gérée de Zilliz Cloud tout en donnant aux clients un contrôle direct sur les clés racines utilisées pour protéger leurs données.
Présentation de CMEK sur Zilliz Cloud
Zilliz Cloud chiffre déjà toutes les données au repos à l’aide d’AES-256 par défaut. Pour les organisations ayant des exigences strictes en matière de sécurité, de conformité ou de gouvernance des données, CMEK ajoute une couche supplémentaire de contrôle client. Au lieu de s’appuyer uniquement sur des clés gérées par la plateforme, vous gérez la clé racine dans le KMS de votre propre fournisseur cloud.
Avec CMEK, vous contrôlez la clé racine utilisée pour protéger vos données. Voici l’architecture :
Vous générez et stockez la Customer Master Key (CMK) dans votre KMS. Elle ne quitte jamais le périmètre de votre KMS. Zilliz Cloud ne possède jamais la clé maîtresse — il ne reçoit qu’un accès temporaire et limité pour l’utiliser lorsque cela est nécessaire.
La CMK chiffre une Encryption Zone Key (EZK) intermédiaire propre à chaque base de données. Lorsque Zilliz Cloud doit traiter des données, il demande à votre KMS de déchiffrer l’EZK. L’EZK déchiffrée ne réside qu’en mémoire, uniquement pendant la durée requise. Cette conception élimine les appels KMS à chaque opération sans affaiblir le périmètre de sécurité.
Les EZK chiffrent les Data Encryption Keys (DEK) par fichier, qui protègent les blocs vectoriels, les index et les journaux réels. Cette architecture à trois niveaux limite le rayon d’impact : si une seule DEK venait à être exposée, les dommages seraient contenus à un seul fichier.
Le résultat est un chiffrement contrôlé par le client sans la pénalité en millisecondes liée à l’appel de votre KMS à chaque recherche vectorielle. Votre clé maîtresse reste la racine de confiance, tandis que Zilliz Cloud peut continuer à fournir une recherche vectorielle à faible latence.
Ce qui est chiffré
CMEK sur Zilliz Cloud est conçu pour protéger les données tout au long de leur cycle de vie, et pas seulement au niveau de la couche de stockage :
- Stockage d’objets — binlogs, fichiers d’index et instantanés dans S3
- Caches SSD locaux — données mises en cache sur les nœuds de calcul pour une recherche à faible latence
- Files de messages — opérations d’insertion et de suppression en transit entre les composants internes
Que vos données soient au repos dans un stockage à long terme, mises en cache pour les performances ou en circulation dans des pipelines de traitement internes, elles restent chiffrées sous votre clé, à l’aide d’AES-256.
Trois résultats qui comptent le plus pour les équipes de sécurité
1. Séparation des tâches — claire et auditable
Zilliz Cloud traite et stocke vos données. Vous détenez les clés dans votre propre KMS. Il s’agit d’entités distinctes avec des rôles distincts. Votre équipe de conformité peut définir clairement cette frontière lors des audits, ce qui contribue à soutenir les contrôles de séparation des tâches et de gestion des clés que de nombreuses équipes associent à des cadres tels que le GDPR, HIPAA, PCI-DSS et SOC 2.
2. Révocabilité instantanée — Contrôle direct par le client
Si vous détectez une faille, devez mettre fin à une relation avec un fournisseur, ou devez répondre à une obligation de conservation légale, vous pouvez désactiver votre CMK directement dans KMS. L’effet est immédiat : les données du cluster Zilliz concerné ne peuvent pas être lues ni traitées par le service tant que l’accès à la clé n’est pas rétabli. Cela ne supprime ni ne déplace les données, et ne dépend pas d’un workflow côté fournisseur.
Cela donne aux équipes un point de contrôle solide pour la souveraineté des données, la réponse aux incidents et la gestion de l’accès des fournisseurs.
3. Journal d’audit unifié — Au sein de votre infrastructure existante
Chaque demande d’accès aux clés depuis Zilliz Cloud est enregistrée dans AWS CloudTrail. Votre équipe de sécurité peut voir quand et comment les clés sont consultées au sein de la même infrastructure d’audit AWS qu’elle utilise déjà, plutôt que de dépendre d’un workflow distinct propre au fournisseur. Vos clés de chiffrement Zilliz coexistent avec vos autres clés AWS KMS, régies par les mêmes politiques et surveillées par les mêmes équipes.
Premiers pas avec CMEK
Nous avons travaillé pour rendre l’adoption de CMEK aussi fluide que possible :
- Étape 1 — Générer la politique IAM. Dans la console Zilliz, nous générons automatiquement l’extrait exact de politique IAM dont votre compte AWS a besoin, préconfiguré avec les bons ID de principaux pour votre cluster. Aucune modification manuelle de JSON requise.
- Étape 2 — Créer la clé et autoriser l’accès. Créez une clé dans votre AWS KMS, appliquez la politique et accordez à Zilliz des autorisations strictement limitées — Decrypt et GenerateDataKey uniquement. Rien de plus large que nécessaire.
- Étape 3 — Activer CMEK sur votre cluster. Collez le Key ARN dans la console Zilliz et basculez Customer-Managed Key sur ON lors de la création d’un nouveau cluster Dedicated.
Toute la configuration prend quelques minutes, pas des jours. La rotation des clés est prise en charge sans interruption — AWS KMS gère la rotation, et Zilliz Cloud suit le Key ARN de manière transparente.
Disponibilité
CMEK est disponible dès aujourd’hui pour les clusters Dedicated dans l’offre business-critical sur AWS. Quelques éléments à connaître avant de commencer :
- Les clés de chiffrement sont gérées au niveau du projet
- Jusqu’à 20 clés uniques par projet (l’ajout de clés en double entraînera des échecs)
- Une fois qu’un cluster est chiffré, la migration de collections entre bases de données n’est pas prise en charge
- Le fournisseur cloud et la région de votre clé KMS doivent correspondre à ceux de votre cluster Zilliz Cloud
- Pour activer CMEK sur des clusters existants exécutant Milvus v2.5.x, sauvegardez vos données et restaurez-les dans un nouveau cluster sur Milvus v2.6.x — La mise à niveau d’un cluster existant ne chiffre pas rétroactivement les données antérieures
- Pour les régions en dehors d’AWS, contactez-nous pour discuter de la disponibilité.
Des questions sur CMEK ou la sécurité d’entreprise sur Zilliz Cloud ? Consultez ce document CMEK ou contactez notre équipe solutions pour plus d’informations.
Continuer à lire
What Is a Vector Lakebase?
A Vector Lakebase is a unified, lake-native data architecture for AI that combines vector-database-grade serving with open lake storage, reusable lake-level indexes, and a shared semantic layer.
Zilliz Cloud Launches in AWS Australia, Expanding Global Reach to Australia and Neighboring Markets
We're thrilled to announce that Zilliz Cloud is now available in the AWS Sydney, Australia region (ap-southeast-2).
DeepRAG: Thinking to Retrieval Step by Step for Large Language Models
Discover DeepRAG, an advanced retrieval-augmented generation (RAG) model that improves LLM accuracy by retrieving only essential data through step-by-step reasoning.