Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) - Amazon Simple Storage Service
APIprise en charge du chiffrement côté serveur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

Important

Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail logs, S3 Inventory, S3 Storage Lens, console Amazon S3 et en tant qu'en-tête de API réponse Amazon S3 supplémentaire dans le AWS Command Line Interface and AWS SDKs. Pour plus d'informations, consultez la section Chiffrement par défaut FAQ.

Tous les nouveaux téléchargements d'objets vers des compartiments Amazon S3 sont chiffrés par défaut avec un chiffrement côté serveur avec des clés gérées par Amazon S3 (-S3). SSE

Le chiffrement côté serveur protège les données au repos. Amazon S3 chiffre chaque objet à l'aide d'une clé unique. Comme protection supplémentaire, il chiffre la clé elle-même à l'aide d'une clé dont il effectue une rotation régulière. Le chiffrement côté serveur Amazon S3 utilise le mode Galois/Counter Standard de chiffrement avancé 256 bits (AES-GCM) pour chiffrer tous les objets chargés.

L'utilisation du chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) est gratuite. Toutefois, les demandes de configuration de la fonction de chiffrement par défaut seront facturées comme des demandes Amazon S3 standard. Pour obtenir des informations sur la tarification, consultez Tarification Amazon S3.

Si vous souhaitez que vos chargements de données soient chiffrés à l'aide de clés gérées uniquement par Amazon S3, vous pouvez utiliser la politique de compartiment suivante. Par exemple, la stratégie de compartiment suivante refuse les autorisations de charger un objet si la demande n'inclut pas l'en-tête x-amz-server-side-encryption demandant le chiffrement côté serveur :

{
  "Version": "2012-10-17",
  "Id": "PutObjectPolicy",
  "Statement": [
    {
      "Sid": "DenyObjectsThatAreNotSSES3",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    }
   ]
}
Note

Un chiffrement côté serveur chiffre uniquement les données d'objet, pas les métadonnées d'objet.

APIprise en charge du chiffrement côté serveur

Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3, et tous les nouveaux objets qui sont chargés dans un compartiment S3 sont automatiquement chiffrés au repos. Le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) est la configuration de chiffrement par défaut pour chaque compartiment d'Amazon S3. Pour utiliser un autre type de chiffrement, vous pouvez soit spécifier le type de chiffrement côté serveur à utiliser dans vos demandes PUT S3, soit définir la configuration de chiffrement par défaut dans le compartiment de destination.

Si vous souhaitez spécifier un autre type de chiffrement dans vos PUT demandes, vous pouvez utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS), chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS) ou chiffrement côté serveur avec des clés fournies par le client (-C). SSE Si vous souhaitez définir une autre configuration de chiffrement par défaut dans le compartiment de destination, vous pouvez utiliser SSE - KMS ou DSSE -KMS.

Pour configurer le chiffrement côté serveur à l'aide de la création d'objets RESTAPIs, vous devez fournir l'en-tête de x-amz-server-side-encryption demande. Pour plus d'informations sur le RESTAPIs, voirÀ l'aide du REST API.

Les Amazon S3 suivants APIs prennent en charge cet en-tête :

  • PUTopérations — Spécifiez l'en-tête de la demande lorsque vous téléchargez des données à l'aide du PUTAPI. Pour plus d'informations, consultez la section PUTObjet.

  • Lancer le téléchargement partitionné : spécifiez l'en-tête dans la demande d'initiation lors du téléchargement d'objets volumineux à l'aide de l'opération de téléchargement partitionné. API Pour plus d’informations, consultez Lancement du chargement partitionné.

  • COPYopérations — Lorsque vous copiez un objet, vous disposez à la fois d'un objet source et d'un objet cible. Pour plus d'informations, voir PUTObjet - Copier.

Note

Lors de l'utilisation d'une opération POST pour charger un objet, à la place de l'en-tête de demande, vous fournissez les mêmes informations dans les champs du formulaire. Pour plus d'informations, consultez la section POSTObjet.

Le AWS SDKsfournissez également un wrapper APIs que vous pouvez utiliser pour demander un chiffrement côté serveur. Vous pouvez également utiliser le AWS Management Console pour télécharger des objets et demander le chiffrement côté serveur.

Pour des informations plus générales, voir AWS KMS concepts contenus dans le AWS Key Management Service Guide du développeur.

Rubriques