Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) - Amazon Simple Storage Service

Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.

Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3)

Le chiffrement côté serveur protège les données au repos. Amazon S3 chiffre chaque objet avec une clé unique. Comme protection supplémentaire, il chiffre la clé elle-même à l'aide d'une clé principale dont il effectue une rotation régulière. Le chiffrement côté serveur d'Amazon S3 utilise l'un des chiffrements par bloc les plus puissants qui existent, AES-256 (Advanced Encryption Standard) 256 bits, pour chiffrer les données.

Si vous avez besoin d'un chiffrement côté serveur pour tous les objets qui sont stockés dans un compartiment, utilisez une stratégie de compartiment. Par exemple, la stratégie de compartiment suivante refuse les autorisations de charger un objet si la demande n'inclut pas l'en-tête x-amz-server-side-encryption demandant le chiffrement côté serveur :

{ "Version": "2012-10-17", "Id": "PutObjectPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnencryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
Note
  • Un chiffrement côté serveur chiffre uniquement les données d'objet, pas les métadonnées d'objet.

Prise en charge de l'API pour le chiffrement côté serveur

Pour demander un cryptage côté serveur à l’aide des API REST de création d’objet, fournissez x-amz-server-side-encryption en-tête de demande. Pour en savoir plus sur les API REST, consultez Spécification du chiffrement côté serveur à l'aide de l'API REST.

Les API Amazon S3 suivantes prennent en charge cet en-tête :

  • Opérations PUT—Spécifiez l’en-tête de demande lors du téléchargement des données à l’aide de l’API PUT. Pour plus d’informations, voir Objet PUT.

  • Lancer téléchargement multipart—Spécifiez l’en-tête dans la demande de lancement lors du téléchargement d’objets volumineux à l’aide de l’API de téléchargement multipart. Pour plus d’informations, voir Lancer téléchargement multipart.

  • Opérations COPY—Lorsque vous copiez un objet, vous disposez à la fois d'un objet source et d'un objet cible. Pour plus d’informations, voir Objet PUT -Copier.

Note

Lors de l'utilisation d'une opération POST pour charger un objet, à la place de l'en-tête de demande, vous fournissez les mêmes informations dans les champs du formulaire. Pour plus d’informations, voir Objet POST.

Les kits SDK AWS fournissent également des API wrapper que vous pouvez utiliser pour demander un chiffrement côté serveur. Vous pouvez également utiliser AWS Management Console pour charger des objets et demander un chiffrement côté serveur.

Plus d'informations