Protection des données à l'aide d'un chiffrement côté serveur - Amazon Simple Storage Service

Ce guide ne fait plus l'objet de mises à jour. Pour obtenir des informations et des instructions actuelles, reportez-vous au nouveau Guide de l'utilisateur Amazon S3.

Protection des données à l'aide d'un chiffrement côté serveur

Le chiffrement côté serveur est le chiffrement des données à leur destination par l'application ou le service qui les reçoit. Amazon S3 chiffre les données au niveau de l'objet lors de l'écriture des données sur les disques dans les centres de données, et les déchiffre pour vous quand vous accédez aux données. Tant que vous authentifiez votre demande et que vous avez des autorisations d'accès, il n'y a aucune différence dans la manière dont vous accédez aux objets chiffrés ou déchiffrés. Par exemple, si vous partagez vos objets en utilisant une URL pré-signée, cette URL fonctionne de la même manière pour les objets chiffrés et déchiffrés. En outre, quand vous répertoriez les objets de votre compartiment, l'API de liste renvoie la liste de tous les objets, qu'ils soient chiffrés ou non.

Note

Vous ne pouvez pas appliquer simultanément différents types de chiffrement côté serveur au même objet.

Trois options mutuellement exclusives s'offrent à vous selon la manière dont vous décidez de gérer les clés de chiffrement.

Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

Lorsque vous utilisez le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), chaque objet est chiffré à l'aide d'une clé unique. Comme protection supplémentaire, il chiffre la clé elle-même à l'aide d'une clé principale dont il effectue une rotation régulière. Le chiffrement côté serveur d'Amazon S3 utilise l'un des chiffrements par bloc les plus puissants qui existent, Advanced Encryption Standard 256 bits (AES-256), pour chiffrer les données. Pour plus d'informations, consultez Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3).

Chiffrement côté serveur avec les clés principales client (CMK) stockées dans AWS Key Management Service (SSE-KMS).

Le chiffrement côté serveur avec des clés principales client (CMK) stockées dans AWS Key Management Service (SSE-KMS) est similaire à SSE-S3, avec certains avantages supplémentaires mais aussi certains frais supplémentaires d'utilisation de ce service. Il existe des autorisations distinctes pour l'utilisation d'une clé CMK qui renforce la protection contre tout accès non autorisé à vos objets dans Amazon S3. SSE-KMS vous fournit également un suivi d'audit indiquant quand votre clé CMK a été utilisée et par qui. En outre, vous pouvez créer et gérer les clés CMK gérées par le client ou utiliser les clés CMK gérées par AWS qui sont propres à vous-même, à votre service et à votre région. Pour plus d'informations, consultez Protection des données à l'aide du chiffrement côté serveur avec les clés CMK stockées dans AWS Key Management Service (SSE-KMS).

Chiffrement côté serveur avec des clés fournies par le client (SSE-C)

Grâce au chiffrement côté serveur avec des clés fournies par le client (SSE-C), vous gérez les clés de chiffrement et Amazon S3 gère le chiffrement au fur et à mesure de l'écriture sur les disques, et le déchiffrement quand vous accédez à vos objets. Pour plus d'informations, consultez Protection des données grâce au chiffrement côté serveur avec les clés de chiffrement fournies par le client (SSE-C).