Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3 - Amazon Simple Storage Service

Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. Le statut de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour les nouveaux chargements d'objets est disponible dans les journaux AWS CloudTrail, S3 Inventory, S3 Storage Lens, dans la console Amazon S3, et en tant qu'en-tête de réponse supplémentaire de l'API Amazon S3 dans l'AWS Command Line Interface et les kits SDK AWS. Pour plus d'informations, consultez la FAQ sur le chiffrement par défaut.

Tous les compartiments Amazon S3 ont le chiffrement configuré par défaut et les objets sont automatiquement chiffrés à l'aide du chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Ce paramètre de chiffrement s'applique à tous les objets de vos compartiments Amazon S3.

Si vous avez besoin de mieux contrôler vos clés, notamment pour gérer la rotation des clés et l'octroi de stratégies d'accès, vous pouvez choisir d'utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou le chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS). Pour en savoir plus sur la modification des clés KMS, consultez Modification des clés dans le Guide du développeur AWS Key Management Service.

Note

Nous avons modifié les compartiments afin de chiffrer automatiquement les nouveaux chargements d'objets. Si vous avez déjà créé un compartiment sans chiffrement par défaut, Amazon S3 activera le chiffrement par défaut pour le compartiment à l'aide de SSE-S3. Aucune modification ne sera apportée à la configuration de chiffrement par défaut d'un compartiment existant pour lequel le chiffrement SSE-S3 ou SSE-KMS est déjà configuré. Si vous souhaitez chiffrer vos objets avec SSE-KMS, vous devez modifier le type de chiffrement dans les paramètres de votre compartiment. Pour plus d’informations, consultez Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS).

Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE-KMS, vous pouvez également activer les clés de compartiment S3 afin de réduire le trafic des demandes depuis Amazon S3 vers AWS KMS et réduire le coût du chiffrement. Pour plus d’informations, consultez Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

Pour identifier les compartiments dont le chiffrement par défaut est activé par SSE-KMS, vous pouvez utiliser les métriques Amazon S3 Storage Lens. S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets. Pour plus d'informations, consultez Using S3 Storage Lens to protect your data (Utilisation de S3 Storage Lens pour protéger vos données).

Lorsque vous utilisez le chiffrement côté serveur, Amazon S3 chiffre un objet avant de l'enregistrer sur disque et le déchiffre lorsque vous téléchargez l'objet. Pour plus d'informations sur la protection des données à l'aide du chiffrement côté serveur et de la gestion des clés de chiffrement, consultez Protection des données avec le chiffrement côté serveur.

Pour en savoir plus sur les autorisations nécessaires pour le chiffrement par défaut, consultez PutBucketEncryption dans la documentation de référence de l'API Amazon Simple Storage Service.

Vous pouvez configurer le chiffrement par défaut Amazon S3 pour un compartiment S3 à l'aide de la console Amazon S3, des kits SDK AWS, de l'API REST Amazon S3 et de l'interface de ligne de commande AWS (AWS CLI).

Chiffrement des objets existants

Pour chiffrer vos objets Amazon S3 non chiffrés existants, vous pouvez utiliser des opérations par lot Amazon S3. Vous fournissez à la fonctionnalité d'opérations par lots S3 une liste d'objets sur lesquels agir. La fonctionnalité d'opérations par lots appelle l'API correspondante pour exécuter l'opération spécifiée. Vous pouvez utiliser l'opération de copie des opérations par lot pour copier des objets non chiffrés et les réécrire dans le même compartiment en tant qu'objets chiffrés. Une tâche d'opérations par lots peut effectuer l'opération spécifiée sur des milliards d'objets. Pour plus d’informations, consultez Exécution des opérations par lot à grande échelle sur des objets Amazon S3 et le billet de blog sur le stockage AWS intitulé Encrypting objects with Amazon S3 Batch Operations.

Vous pouvez également chiffrer des objets existants à l'aide de l'opération d'API CopyObject ou de la commande copy-object de l'AWS CLI. Pour plus d’informations, consultez le billet de blog sur le stockage AWS intitulé Encrypting existing Amazon S3 objects with the AWS CLI.

Note

Les compartiments Amazon S3 pour lesquels le chiffrement de compartiment par défaut est défini sur SSE-KMS ne peuvent pas servir de compartiments de destination pour Enregistrement de demandes avec journalisation des accès au serveur. Seul le chiffrement par défaut SSE-S3 est pris en charge pour les compartiments de destination du journal d'accès au serveur.

Utilisation du chiffrement SSE-KMS pour les opérations intercomptes

Tenez compte des éléments suivants lors de l'utilisation du chiffrement pour les opérations inter-comptes :

  • Si une AWS KMS key Amazon Resource Name (ARN) ou un alias n'est pas fourni au moment de la demande, ni via la configuration de chiffrement par défaut du compartiment, la Clé gérée par AWS (aws/s3) est utilisée.

  • Si vous chargez des objets S3 ou si vous y accédez à l'aide de principaux AWS Identity and Access Management (IAM) qui se trouvent dans le même Compte AWS que votre clé KMS, vous pouvez utiliser la Clé gérée par AWS (aws/s3).

  • Utilisez une clé gérée par le client si vous souhaitez accorder un accès intercompte à vos objets S3. Vous pouvez configurer la politique d'une clé gérée par le client afin d'autoriser l'accès à partir d'un autre compte.

  • Si vous spécifiez votre propre clé KMS, vous recommandons d'utiliser un ARN de clé KMS totalement qualifié. Si vous utilisez plutôt un alias de clé KMS, AWS KMS résout la clé dans le compte du demandeur. En raison de ce comportement, les données peuvent être chiffrées avec une clé KMS qui appartient au demandeur, et non au propriétaire du compartiment.

  • Vous devez spécifier une clé pour laquelle vous (le demandeur) avez obtenu l'autorisation de Encrypt. Pour en savoir plus, consultez Permettre aux utilisateurs de clés d'utiliser une clé KMS pour les opérations de chiffrement dans le Guide de l'utilisateur AWS Key Management Service.

Pour plus d'informations sur les moments propices à l'utilisation des clés gérées par le client et des clés KMS gérées par AWS, consultez Dois-je utiliser une Clé gérée par AWS ou une clé gérée par le client pour chiffrer mes objets dans Amazon S3 ?

Utilisation du chiffrement par défaut avec la réplication

Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s'applique :

  • Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l'aide des paramètres de chiffrement par défaut du compartiment de destination. Par conséquent, les balises d'entité (ETags) des objets sources diffèrent des ETags des objets réplica. Si certaines de vos applications utilisent des ETags, vous devez les mettre à jour pour tenir compte de cette différence.

  • Si des objets du compartiment source sont chiffrés en utilisant le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou le chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS), les objets réplica du compartiment de destination utilisent le même type de chiffrement que les objets sources. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.

Pour plus d’informations sur l’utilisation du chiffrement par défaut avec SSE-KMS, consultez Réplication d'objets chiffrés (SSE-C, SSE-S3, SSE-KMS, DSSE-KMS).

Utilisation des clés de compartiment Amazon S3 avec chiffrement par défaut

Lorsque vous configurez votre compartiment pour utiliser SSE-KMS comme le comportement de chiffrement par défaut sur de nouveaux objets, vous pouvez également configurer des clés de compartiment S3. Les clés de compartiment S3 réduisent le nombre de transactions entre Amazon S3 et AWS KMS afin de réduire le coût de SSE-KMS.

Lorsque vous configurez votre compartiment pour utiliser les clés de compartiment S3 pour SSE-KMS sur de nouveaux objets, AWS KMS génère une clé de niveau compartiment qui est utilisée pour créer une clé de données unique pour les objets se trouvant dans le compartiment. Cette clé de compartiment S3 est utilisée pendant une période limitée dans Amazon S3, ce qui réduit la nécessité pour Amazon S3 d'adresser des demandes à AWS KMS pour terminer les opérations de chiffrement.

Pour plus d'informations sur l'utilisation des clés de compartiment S3, consultez Utilisation de clés de compartiment Amazon S3..