Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS) - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)

L'utilisation du chiffrement double couche côté serveur avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS) applique deux couches de chiffrement aux objets lorsqu'ils sont chargés sur Amazon S3. DSSE-KMS vous permet de satisfaire plus facilement aux normes de conformité, qui vous imposent d'appliquer un chiffrement multicouche à vos données et de contrôler entièrement vos clés de chiffrement.

Lorsque vous utilisez le DSSE-KMS avec un compartiment Amazon S3, les AWS KMS clés doivent se trouver dans la même région que le compartiment. De même, lorsqu'un chiffrement DSSE-KMS est demandé pour l'objet, le total de contrôle S3, qui fait partie des métadonnées de l'objet, est stocké sous une forme chiffrée. Pour en savoir plus sur le total de contrôle, consultez Vérification de l'intégrité des objets.

L'utilisation de DSSE-KMS et. AWS KMS keys Pour en savoir plus sur la tarification de DSSE-KMS, consultez Concepts de AWS KMS key dans le Guide du développeur AWS Key Management Service et Tarification AWS KMS.

Note

Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.

Nécessite un chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS)

Pour exiger un chiffrement double couche côté serveur de tous les objets contenus dans un compartiment Amazon S3 déterminé, vous pouvez utiliser une stratégie de compartiment. Par exemple, la stratégie de compartiment suivante n'autorise pas le chargement d'objet (s3:PutObject) si la demande n'inclut pas d'en-tête x-amz-server-side-encryption demandant un chiffrement côté serveur avec DSSE-KMS.

{
             "Version":"2012-10-17",
             "Id":"PutObjectPolicy",
             "Statement":[{
                   "Sid":"DenyUnEncryptedObjectUploads",
                   "Effect":"Deny",
                   "Principal":"*",
                   "Action":"s3:PutObject",
                   "Resource":"arn:aws:s3:::example-s3-bucket1/*",
                   "Condition":{
                      "StringNotEquals":{
                         "s3:x-amz-server-side-encryption":"aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Rubriques