Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3 - Amazon Simple Storage Service

Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3

Avec le chiffrement par défaut Amazon S3, vous pouvez définir le comportement de chiffrement par défaut d’un compartiment S3 afin que tous les nouveaux objets soient chiffrés lorsqu’ils sont stockés dans le compartiment. Les objets sont chiffrés au moyen d'un chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou des AWS KMS keys stockées dans AWS Key Management Service (AWS KMS) (SSE-KMS).

Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE-KMS, vous pouvez également activer les clés de compartiment S3 afin de réduire le trafic des demandes depuis Amazon S3 vers AWS Key Management Service (AWS KMS) et réduire le coût du chiffrement. Pour de plus amples informations, veuillez consulter Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

Lorsque vous utilisez le chiffrement côté serveur, Amazon S3 chiffre un objet avant de l'enregistrer sur disque et le déchiffre lorsque vous téléchargez l'objet. Pour plus d'informations sur la protection des données à l'aide du chiffrement côté serveur et de la gestion des clés de chiffrement, consultez Protection des données à l'aide d'un chiffrement côté serveur.

Pour de plus amples informations sur les autorisations requises pour le chiffrement par défaut, veuillez consulter PutBucketEncryption dans la Référence de l'API Amazon Simple Storage Service.

Pour configurer le chiffrement par défaut sur un compartiment, vous pouvez utiliser la console Amazon S3, la AWS CLI, des kits SDK AWS ou l'API REST. Pour de plus amples informations, veuillez consulter Activation du chiffrement par défaut de compartiment Amazon S3.

Chiffrement des objets existants

Pour chiffrer vos objets Amazon S3 existants, vous pouvez utiliser des opérations par lots Amazon S3. Vous fournissez à la fonctionnalité d'opérations par lots S3 une liste d'objets sur lesquels agir. La fonctionnalité d'opérations par lots appelle l'API correspondante pour exécuter l'opération spécifiée. Vous pouvez utiliser l'opération de copie des opérations par lot pour copier des objets non chiffrés et les réécrire dans le même compartiment en tant qu'objets chiffrés. Une tâche d'opérations par lots peut effectuer l'opération spécifiée sur des milliards d'objets. Pour de plus amples informations, veuillez consulter Exécution des opérations par lot à grande échelle sur des objets Amazon S3 et le billet de blog sur le stockage AWS intitulé Chiffrement d'objets avec des opérations par lot Amazon S3.

Vous pouvez également chiffrer des objets existants à l'aide de l'API Copy Object. Pour de plus amples informations, veuillez consulter le billet de blog sur le stockage AWS intitulé Chiffrement d'objets Amazon S3 existants avec la AWS CLI.

Note

Les compartiments Amazon S3 existants avec chiffrement de compartiment par défaut SSE-KMS ne peuvent pas être utilisés comme compartiments de destination pour Enregistrement des demandes avec journalisation des accès au serveur. Seul le chiffrement par défaut SSE-S3 est pris en charge pour les compartiments de destination du journal d'accès au serveur.

Utilisation du chiffrement pour les opérations inter-comptes

Tenez compte des éléments suivants lors de l'utilisation du chiffrement pour les opérations inter-comptes :

  • La clé gérée par AWS (aws/s3) est utilisée lorsqu'un Amazon Resource Name (ARN) AWS KMS key ou alias n'est pas fourni au moment de la demande, ni via la configuration de chiffrement par défaut du compartiment.

  • Si vous chargez des objets S3 ou si vous y accédez à l'aide de mandataires (IAM) AWS Identity and Access Management qui se trouvent dans le même Compte AWS que votre clé KMS, vous pourrez utiliser la clé gérée par AWS (aws/s3).

  • Utilisez une clé gérée par le client si vous souhaitez accorder un accès entre comptes à vos objets S3. Vous pouvez configurer la politique d'une clé gérée par le client afin d'autoriser l'accès à partir d'un autre compte.

  • Si vous spécifiez votre propre clé KMS, vous devrez utiliser un ARN de clé KMS totalement qualifié. Lorsque vous utilisez un alias de clé KMS, sachez que AWS KMS résoudra la clé dans le compte du demandeur. Cela peut entraîner le chiffrement des données à l’aide d’une clé KMS appartenant au demandeur, et non à l’administrateur du compartiment.

  • Vous devez spécifier une clé pour laquelle vous (le demandeur) avez obtenu l’autorisation de Encrypt. Pour en savoir plus, consultez Permet aux utilisateurs de clés d'utiliser une clé KMS pour les opérations de chiffrement dans le guide de l'utilisateur AWS Key Management Service.

Pour en savoir plus sur le moment où utiliser les clés gérées par le client et les clés KMS gérées par AWS, consultez Dois-je utiliser une clé gérée par AWS ou une clé gérée par le client pour chiffrer mes objets sur Amazon S3 ?

Utilisation du chiffrement par défaut avec la réplication

Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s’applique :

  • Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l'aide des paramètres de chiffrement par défaut du compartiment de destination. Cela produit un ETag de l'objet source différent de l'ETag de l'objet réplica. Vous devez mettre à jour les applications qui utilisent l'ETag pour compenser cette différence.

  • Si des objets du compartiment source sont chiffrés à l'aide de SSE-S3 ou de SSE-KMS, les objets réplica du compartiment de destination utilisent le même chiffrement que celui de l'objet source. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.

Pour de plus amples informations sur l'utilisation du chiffrement par défaut avec SSE-KMS, veuillez consulter Réplication d'objets chiffrés.

Utilisation des clés de compartiment Amazon S3 avec chiffrement par défaut

Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut pour SSE-KMS sur de nouveaux objets, vous pouvez également configurer les clés de compartiment S3. Les clés de compartiment S3 réduisent le nombre de transactions entre Amazon S3 et AWS KMS afin de réduire le coût du chiffrement côté serveur à l'aide de AWS Key Management Service (SSE-KMS).

Lorsque vous configurez votre compartiment pour utiliser les clés de compartiment S3 pour SSE-KMS sur de nouveaux objets, AWS KMS génère une clé de niveau compartiment qui est utilisée pour créer une clé de données unique pour les objets se trouvant dans le compartiment. Cette clé de compartiment est utilisée pendant une période limitée dans Amazon S3, réduisant la nécessité pour Amazon S3 d'adresser des demandes à AWS KMS pour terminer les opérations de chiffrement.

Pour en savoir plus sur l’utilisation d’une clé de compartiment S3, veuillez consulter Utilisation de clés de compartiment Amazon S3..