Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) - Amazon Simple Storage Service

Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3)

Le chiffrement côté serveur protège les données au repos. Amazon S3 chiffre chaque objet avec une clé unique. Comme protection supplémentaire, il chiffre la clé elle-même à l'aide d'une clé principale dont il effectue une rotation régulière. Le chiffrement côté serveur d'Amazon S3 utilise l'un des chiffrements par bloc les plus puissants qui existent, AES-256 (Advanced Encryption Standard) 256 bits, pour chiffrer les données.

Si vous avez besoin d'un chiffrement côté serveur pour tous les objets qui sont stockés dans un compartiment, utilisez une stratégie de compartiment. Par exemple, la stratégie de compartiment suivante refuse les autorisations de charger un objet si la demande n'inclut pas l'en-tête x-amz-server-side-encryption demandant le chiffrement côté serveur :

{ "Version": "2012-10-17", "Id": "PutObjectPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnencryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
Note
  • Un chiffrement côté serveur chiffre uniquement les données d'objet, pas les métadonnées d'objet.

Prise en charge de l'API pour le chiffrement côté serveur

Pour demander un chiffrement côté serveur à l'aide des API REST de création d'objet, fournissez l'en-tête de demande x-amz-server-side-encryption. Pour en savoir plus sur les API REST, consultez Spécification du chiffrement côté serveur à l'aide de l'API REST.

Les API Amazon S3 suivantes prennent en charge cet en-tête :

  • Opérations PUT – Spécifiez l'en-tête de demande lors du chargement des données à l'aide de l'API PUT. Pour plus d'informations, consultez PUT Object.

  • Lancement du chargement partitionné – Spécifiez l'en-tête dans la demande initiale lors du chargement d'objets volumineux avec l'API de chargement partitionné. Pour en savoir plus, consultez Lancement du chargement partitionné.

  • Opérations COPY—Lorsque vous copiez un objet, vous disposez à la fois d'un objet source et d'un objet cible. Pour de plus amples informations, consultez PUT Object - Copy.

Note

Lors de l'utilisation d'une opération POST pour charger un objet, à la place de l'en-tête de demande, vous fournissez les mêmes informations dans les champs du formulaire. Pour de plus amples informations, veuillez consulter POST Object.

Les kits SDK AWS fournissent également des API wrapper que vous pouvez utiliser pour demander un chiffrement côté serveur. Vous pouvez également utiliser AWS Management Console pour charger des objets et demander un chiffrement côté serveur.

Plus d'informations