Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) - Amazon Simple Storage Service

Ce guide ne fait plus l'objet de mises à jour. Pour obtenir des informations et des instructions actuelles, reportez-vous au nouveau Guide de l'utilisateur Amazon S3.

Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3)

Le chiffrement côté serveur protège les données au repos. Amazon S3 chiffre chaque objet à l'aide d'une clé unique. Comme protection supplémentaire, il chiffre la clé elle-même à l'aide d'une clé principale dont il effectue une rotation régulière. Le chiffrement côté serveur d'Amazon S3 utilise l'un des chiffrements par bloc les plus puissants qui existent, Advanced Encryption Standard 256 bits (AES-256), pour chiffrer les données.

Si vous avez besoin d'un chiffrement côté serveur pour tous les objets qui sont stockés dans un compartiment, utilisez une stratégie de compartiment. Par exemple, la stratégie de compartiment suivante refuse les autorisations de charger un objet si la demande n'inclut pas l'en-tête x-amz-server-side-encryption demandant le chiffrement côté serveur :

{ "Version": "2012-10-17", "Id": "PutObjectPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnencryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
Note
  • Un chiffrement côté serveur chiffre uniquement les données d'objet, pas les métadonnées d'objet.

Prise en charge de l'API pour le chiffrement côté serveur

Pour demander un chiffrement côté serveur à l'aide des API REST de création d'objet, fournissez l'en-tête de demande x-amz-server-side-encryption. Pour en savoir plus sur les API REST, consultez Spécification du chiffrement côté serveur à l'aide de l'API REST.

Les API Amazon S3 suivantes prennent en charge cet en-tête :

  • Opérations PUT : lors du chargement des données grâce à l'API PUT, spécifiez l'en-tête de demande. Pour de plus amples informations, veuillez consulter PUT Object.

  • Lancement du chargement partitionné : spécifiez l'en-tête dans la demande initiale lors du chargement d'objets volumineux grâce à l'API de chargement partitionné. Pour de plus amples informations, veuillez consulter Lancement du chargement partitionné.

  • Opérations COPY : lorsque vous copiez un objet, vous disposez à la fois d'un objet source et d'un objet cible. Pour de plus amples informations, consultez PUT Object - Copy.

Note

Lors de l'utilisation d'une opération POST pour charger un objet, à la place de l'en-tête de demande, vous fournissez les mêmes informations dans les champs du formulaire. Pour de plus amples informations, veuillez consulter POST Object.

Les kits SDK AWS fournissent également des API d'enveloppe que vous pouvez utiliser pour demander un chiffrement côté serveur. Vous pouvez également utiliser AWS Management Console pour charger des objets et demander un chiffrement côté serveur.

Plus d'informations