Protection des données à l’aide du chiffrement

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. Le statut de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour les nouveaux chargements d’objets est disponible dans les journaux AWS CloudTrail, S3 Inventory, S3 Storage Lens, dans la console Amazon S3, et en tant qu’en-tête de réponse supplémentaire de l’API Amazon S3 dans l’AWS Command Line Interface et les kits AWS SDK. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.

La protection des données fait référence à la protection des données pendant que celles-ci sont en transit (à destination ou en provenance d’Amazon S3) et au repos (durant leur stockage sur les disques de centres de données Amazon S3). Vous pouvez protéger les données en transit à l’aide du protocole Secure Socket Layer/Transport Layer Security (SSL/TLS) ou du chiffrement côté client. Pour protéger des données au repos dans Amazon S3, vous disposer des options suivantes :

• Chiffrement côté serveur : Amazon S3 chiffre vos objets avant de les enregistrer sur les disques des centres de données AWS, puis de les déchiffrer lorsque vous les téléchargez.

  Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3, et tous les nouveaux objets qui sont chargés dans un compartiment S3 sont automatiquement chiffrés au repos. Le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) est la configuration de chiffrement par défaut pour chaque compartiment dans Amazon S3. Pour utiliser un autre type de chiffrement, vous pouvez soit spécifier le type de chiffrement côté serveur à utiliser dans vos demandes S3 PUT, soit actualiser la configuration du chiffrement par défaut dans le compartiment de destination.

  Si vous souhaitez spécifier un autre type de chiffrement dans vos demandes PUT, vous pouvez utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), le chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS) ou le chiffrement côté serveur avec des clés fournies par le client (SSE-C). Si vous souhaitez définir une autre configuration de chiffrement par défaut dans le compartiment de destination, vous pouvez utiliser SSE-KMS ou DSSE-KMS.

  Pour plus d’informations sur la modification de la configuration du chiffrement par défaut de vos compartiments à usage général, consultez Configuration du chiffrement par défaut.

  Lorsque vous remplacez la configuration du chiffrement par défaut de votre compartiment par SSE-KMS, le type de chiffrement des objets Amazon S3 existants du compartiment n’est pas modifié. Pour modifier le type de chiffrement de vos objets préexistants après avoir remplacé la configuration de chiffrement par défaut par SSE-KMS, vous pouvez utiliser Amazon S3 Batch Operations. Vous fournissez une liste d’objets à S3 Batch Operations, qui appelle l’opération d’API correspondante. Vous pouvez utiliser l’action Copie d’objets pour copier des objets existants et les réécrire dans le même compartiment en tant qu’objets chiffrés par SSE-KMS. Une tâche Batch Operations peut effectuer l’opération spécifiée sur des milliards d’objets. Pour plus d’informations, consultez Exécution d’opérations groupées sur des objets avec Batch Operations et la publication How to retroactively encrypt existing objects in Amazon S3 using S3 Inventory, Amazon Athena, and S3 Batch Operations dans le blog sur le stockage AWS.

  Pour plus d’informations sur chaque option pour le chiffrement côté serveur, consultez Protection des données avec le chiffrement côté serveur.

  Pour configurer le chiffrement côté serveur, consultez :

  • Spécification du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

  • Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS)

  • Spécification du chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS)

  • Spécification du chiffrement côté serveur avec des clés fournies par le client (SSE-C)

• Chiffrement côté client : vous chiffrez vos données côté client et chargez les données chiffrées dans Amazon S3. Dans ce cas, vous gérez le processus de chiffrement, les clés de chiffrement et les outils associés.

  Pour configurer le chiffrement côté client, consultez Protection des données avec le chiffrement côté client.

Pour savoir quel pourcentage de vos octets de stockage sont chiffrés, vous pouvez utiliser les métriques Amazon S3 Storage Lens. S3 Storage Lens est une fonctionnalité d’analytique du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l’échelle de l’organisation sur l’utilisation et l’activité du stockage d’objets. Pour plus d’informations, consultez Évaluer l’activité et l’utilisation de votre stockage avec S3 Storage Lens. Pour obtenir la liste complète des métriques, consultez le Glossaire des métriques S3 Storage Lens.

Pour plus d’informations sur le chiffrement côté serveur et le chiffrement côté client, consultez les rubriques suivantes.

Rubriques

• Protection des données avec le chiffrement côté serveur

• Protection des données avec le chiffrement côté client