Utilisation du chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS)
L’utilisation du chiffrement double couche côté serveur avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS) applique deux couches de chiffrement aux objets au moment où ils sont chargés sur Amazon S3. DSSE-KMS vous permet de satisfaire plus facilement aux normes de conformité, qui vous imposent d’appliquer un chiffrement multicouche à vos données et de contrôler entièrement vos clés de chiffrement.
Dans DSSE-KMS, le terme « double » fait référence aux deux couches indépendantes de chiffrement AES-256 appliquées à vos données :
Première couche : vos données sont chiffrées à l’aide d’une clé de chiffrement des données unique générée par AWS KMS
Deuxième couche : les données déjà chiffrées sont chiffrées à nouveau à l’aide d’une clé de chiffrement AES-256 distincte gérée par Amazon S3
Cette procédure diffère du chiffrement SSE-KMS standard, qui n’applique qu’une seule couche de chiffrement. La double couche améliore la sécurité en offrant la garantie que, même si une couche de chiffrement était compromise, vos données resteraient protégées par la deuxième couche. Cette sécurité supplémentaire s’accompagne d’une augmentation des frais de traitement et des appels d’API AWS KMS, ce qui explique son coût plus élevé par rapport au chiffrement SSE-KMS standard. Pour plus d’information sur la tarification du chiffrement DSSE-KMS, consultez Concepts de AWS KMS key dans le Guide du développeur AWS Key Management Service et Tarification AWS KMS
Lorsque vous utilisez DSSE-KMS avec un compartiment Amazon S3, les clés AWS KMS doivent se trouver dans la même région que le compartiment. De même, lorsqu’un chiffrement DSSE-KMS est demandé pour l’objet, le total de contrôle S3, qui fait partie des métadonnées de l’objet, est stocké sous une forme chiffrée. Pour en savoir plus sur le total de contrôle, consultez Vérification de l’intégrité des objets dans Amazon S3.
Note
Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.
Les principales différences entre le chiffrement DSSE-KMS et le chiffrement SSE-KMS standard sont les suivantes :
Couches de chiffrement : le chiffrement DSSE-KMS applique deux couches indépendantes de chiffrement AES-256, tandis que le chiffrement SSE-KMS standard n’en applique qu’une
Sécurité : le chiffrement DSSE-KMS offre une protection renforcée contre les vulnérabilités potentielles du chiffrement
Conformité : le chiffrement DSSE-KMS permet de répondre aux exigences réglementaires qui imposent un chiffrement multicouche
Performances : le chiffrement DSSE-KMS présente une latence légèrement plus élevée en raison du traitement du chiffrement supplémentaire
Coût : le chiffrement DSSE-KMS engendre des frais plus élevés en raison de l’augmentation des frais de calcul et des opérations AWS KMSsupplémentaires
Exigence de chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS)
Pour exiger un chiffrement double couche côté serveur de tous les objets contenus dans un compartiment Amazon S3 déterminé, vous pouvez utiliser une stratégie de compartiment. Par exemple, la stratégie de compartiment suivante n’autorise pas le chargement d’objet (s3:PutObject) si la demande n’inclut pas d’en-tête x-amz-server-side-encryption demandant un chiffrement côté serveur avec DSSE-KMS.
