Utilisation du chiffrement SSE-KMS pour les opérations intercomptes Utilisation du chiffrement par défaut avec la réplication Utilisation des clés de compartiment Amazon S3 avec chiffrement par défaut

Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 seront automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. Actuellement, l'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour les nouveaux chargements d'objets est disponible dans les journaux AWS CloudTrail, dans S3 Inventory et dans S3 Storage Lens. Au cours des prochaines semaines, l'état de chiffrement automatique sera également déployé dans la console Amazon S3 et en tant qu'en-tête de réponse supplémentaire de l'API Amazon S3 dans les kits SDK AWS Command Line Interface et AWS. Lorsque cette mise à jour sera complète dans toutes les Régions AWS, nous mettrons à jour la documentation. Pour plus d'informations, consultez la FAQ sur le chiffrement par défaut.

Avec le chiffrement par défaut Amazon S3, vous pouvez définir le comportement de chiffrement par défaut d'un compartiment S3 afin que tous les nouveaux objets soient chiffrés lorsqu'ils sont stockés dans le compartiment. Les objets sont chiffrés au moyen d'un chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou des AWS KMS keys stockées dans AWS Key Management Service (AWS KMS) (SSE-KMS).

Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE-KMS, vous pouvez également activer les clés de compartiment S3 afin de réduire le trafic des demandes depuis Amazon S3 vers AWS Key Management Service (AWS KMS) et réduire le coût du chiffrement. Pour de plus amples informations, veuillez consulter Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

Pour identifier les compartiments dont le chiffrement par défaut est activé par SSE-KMS, vous pouvez utiliser les métriques Amazon S3 Storage Lens. S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets. Pour plus d'informations, consultez Using S3 Storage Lens to protect your data (Utilisation de S3 Storage Lens pour protéger vos données).

Lorsque vous utilisez le chiffrement côté serveur, Amazon S3 chiffre un objet avant de l'enregistrer sur disque et le déchiffre lorsque vous téléchargez l'objet. Pour plus d'informations sur la protection des données à l'aide du chiffrement côté serveur et de la gestion des clés de chiffrement, consultez Protection des données à l'aide d'un chiffrement côté serveur.

Pour de plus amples informations sur les autorisations requises pour le chiffrement par défaut, veuillez consulter PutBucketEncryption dans la Référence de l'API Amazon Simple Storage Service.

Pour configurer le chiffrement par défaut sur un compartiment, vous pouvez utiliser la console Amazon S3, la AWS CLI, des kits SDK AWS ou l'API REST. Pour de plus amples informations, veuillez consulter Activation du chiffrement par défaut de compartiment Amazon S3.

Chiffrement des objets existants

Pour chiffrer vos objets Amazon S3 existants, vous pouvez utiliser des opérations par lots Amazon S3. Vous fournissez à la fonctionnalité d'opérations par lots S3 une liste d'objets sur lesquels agir. La fonctionnalité d'opérations par lots appelle l'API correspondante pour exécuter l'opération spécifiée. Vous pouvez utiliser l'opération de copie des opérations par lot pour copier des objets non chiffrés et les réécrire dans le même compartiment en tant qu'objets chiffrés. Une tâche d'opérations par lots peut effectuer l'opération spécifiée sur des milliards d'objets. Pour de plus amples informations, veuillez consulter Exécution des opérations par lot à grande échelle sur des objets Amazon S3 et le billet de blog sur le stockage AWS intitulé Chiffrement d'objets avec des opérations par lot Amazon S3.

Vous pouvez également chiffrer des objets existants à l'aide de l'API Copy Object. Pour de plus amples informations, veuillez consulter le billet de blog sur le stockage AWS intitulé Chiffrement d'objets Amazon S3 existants avec la AWS CLI.

Note

Les compartiments Amazon S3 existants avec chiffrement de compartiment par défaut SSE-KMS ne peuvent pas être utilisés comme compartiments de destination pour Enregistrement des demandes avec journalisation des accès au serveur. Seul le chiffrement par défaut SSE-S3 est pris en charge pour les compartiments de destination du journal d'accès au serveur.

Utilisation du chiffrement SSE-KMS pour les opérations intercomptes

Tenez compte des éléments suivants lors de l'utilisation du chiffrement SSE-KMS pour les opérations intercomptes :

La clé gérée par AWS (aws/s3) est utilisée lorsqu'un Amazon Resource Name (ARN) AWS KMS key ou alias n'est pas fourni au moment de la demande, ni via la configuration de chiffrement par défaut du compartiment.
Si vous chargez des objets S3 ou si vous y accédez à l'aide de mandataires (IAM) AWS Identity and Access Management qui se trouvent dans le même Compte AWS que votre clé KMS, vous pourrez utiliser la clé gérée par AWS (aws/s3).
Utilisez une clé gérée par le client si vous souhaitez accorder un accès intercompte à vos objets S3 chiffrés par SSE-KMS. Vous pouvez configurer la politique d'une clé gérée par le client afin d'autoriser l'accès à partir d'un autre compte.
Si vous spécifiez votre propre clé KMS, vous devrez utiliser un ARN de clé KMS totalement qualifié. Lorsque vous utilisez un alias de clé KMS, sachez que AWS KMS résoudra la clé dans le compte du demandeur. Cela peut entraîner le chiffrement des données à l'aide d'une clé KMS appartenant au demandeur, et non à l'administrateur du compartiment.
Vous devez spécifier une clé pour laquelle vous (le demandeur) avez obtenu l'autorisation de Encrypt. Pour en savoir plus, consultez Permet aux utilisateurs de clés d'utiliser une clé KMS pour les opérations de chiffrement dans le guide de l'utilisateur AWS Key Management Service.

Pour en savoir plus sur le moment où utiliser les clés gérées par le client et les clés KMS gérées par AWS, consultez Dois-je utiliser une clé gérée par AWS ou une clé gérée par le client pour chiffrer mes objets sur Amazon S3 ?

Utilisation du chiffrement par défaut avec la réplication

Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s'applique :

Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l'aide des paramètres de chiffrement par défaut du compartiment de destination. Cela produit un ETag de l'objet source différent de l'ETag de l'objet réplica. Vous devez mettre à jour les applications qui utilisent l'ETag pour compenser cette différence.
Si des objets du compartiment source sont chiffrés à l'aide de SSE-S3 ou de SSE-KMS, les objets réplica du compartiment de destination utilisent le même chiffrement que celui de l'objet source. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.

Pour de plus amples informations sur l'utilisation du chiffrement par défaut avec SSE-KMS, veuillez consulter Réplication d'objets chiffrés (SSE-C, SSE-S3, SSE-KMS)..

Utilisation des clés de compartiment Amazon S3 avec chiffrement par défaut

Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut pour SSE-KMS sur de nouveaux objets, vous pouvez également configurer les clés de compartiment S3. Les clés de compartiment S3 réduisent le nombre de transactions entre Amazon S3 et AWS KMS afin de réduire le coût du chiffrement côté serveur à l'aide de AWS Key Management Service (SSE-KMS).

Lorsque vous configurez votre compartiment pour utiliser les clés de compartiment S3 pour SSE-KMS sur de nouveaux objets, AWS KMS génère une clé de niveau compartiment qui est utilisée pour créer une clé de données unique pour les objets se trouvant dans le compartiment. Cette clé de compartiment est utilisée pendant une période limitée dans Amazon S3, réduisant la nécessité pour Amazon S3 d'adresser des demandes à AWS KMS pour terminer les opérations de chiffrement.

Pour en savoir plus sur l'utilisation d'une clé de compartiment S3, veuillez consulter Utilisation de clés de compartiment Amazon S3..

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression d'un compartiment

Activation du chiffrement par défaut