Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3
Les clés de compartiment Amazon S3 réduisent le coût du chiffrement côté serveur Amazon S3 avec AWS Key Management Service (AWS KMS) clés (SSE-KMS). L'utilisation d'une clé au niveau du compartiment pour SSE - peut réduire KMS AWS KMS les coûts liés aux demandes peuvent atteindre 99 % en diminuant le trafic de demandes depuis Amazon S3 vers AWS KMS. En quelques clics dans AWS Management Console, et sans aucune modification de vos applications clientes, vous pouvez configurer votre compartiment pour utiliser une clé de compartiment S3 pour SSE le KMS chiffrement de nouveaux objets.
Note
Les clés de compartiment S3 ne sont pas prises en charge pour le chiffrement double couche côté serveur avec AWS Key Management Service (AWS KMS) clés (DSSE-KMS).
Clés de compartiment S3 pour SSE - KMS
Les charges de travail qui accèdent à des millions, voire des milliards d'objets chiffrésSSE, KMS peuvent générer d'importants volumes de demandes de AWS KMS. Lorsque vous utilisez SSE : KMS pour protéger vos données sans clé de compartiment S3, Amazon S3 fait appel à un AWS KMS clé de données pour chaque objet. Dans ce cas, Amazon S3 appelle AWS KMS chaque fois qu'une demande est faite contre un objet KMS chiffré. Pour plus d'informations sur le KMS fonctionnement de SSE -, voirUtilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS).
Lorsque vous configurez votre compartiment pour utiliser une clé de compartiment S3 pour SSE -KMS, AWS génère une clé de courte durée au niveau du compartiment à partir de AWS KMS, puis le conserve temporairement dans S3. Cette clé de niveau compartiment créera des clés de données pour les nouveaux objets au cours de son cycle de vie. Les clés de compartiment S3 sont utilisées pendant une période limitée dans Amazon S3, ce qui réduit la nécessité pour S3 d'envoyer des demandes à AWS KMS pour terminer les opérations de chiffrement. Cela réduit le trafic de S3 à AWS KMS, vous permettant d'accéder AWS KMS-des objets chiffrés dans Amazon S3 à une fraction du coût précédent.
Les clés uniques au niveau du compartiment sont récupérées au moins une fois par demandeur afin de garantir que l'accès du demandeur à la clé est capturé dans un AWS KMS CloudTrail événement. Amazon S3 traite les appelants comme des demandeurs différents lorsqu'ils utilisent des rôles ou des comptes différents, ou lorsqu'ils utilisent le même rôle avec des politiques de cadrage différentes. AWS KMS les économies de demandes reflètent le nombre de demandeurs, les modèles de demandes et l'âge relatif des objets demandés. Par exemple, un nombre réduit de demandeurs, sollicitant plusieurs objets dans une fenêtre de temps limitée, et chiffrés avec la même clé au niveau des compartiments, permettra de réaliser des économies plus importantes.
Note
L'utilisation de S3 Bucket Keys vous permet d'économiser sur AWS KMS frais de demande en diminuant vos demandes auprès de AWS KMS pour Encrypt
GenerateDataKey
, et les Decrypt
opérations à l'aide d'une clé au niveau du compartiment. De par leur conception, les demandes ultérieures qui tirent parti de cette clé au niveau du compartiment n'entraînent pas AWS KMS APIdemande ou valide l'accès par rapport au AWS KMS politique clé.
Lorsque vous configurez une clé de compartiment S3, les objets qui se trouvent déjà dans le compartiment n'utilisent pas la clé de compartiment S3. Pour configurer une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une opération CopyObject
. Pour de plus amples informations, veuillez consulter Configuration d'une clé de compartiment S3 au niveau d'un objet .
Amazon S3 ne partagera une clé de compartiment S3 que pour les objets chiffrés par celui-ci AWS KMS key. Les clés de compartiment S3 sont compatibles avec KMS les clés créées par AWS KMS, du matériel clé importé et du matériel clé soutenu par des magasins de clés personnalisés.
Configuration de clés de compartiment S3
Vous pouvez configurer votre compartiment pour utiliser une clé de compartiment S3 pour SSE : KMS sur de nouveaux objets via la console Amazon S3, AWS SDKs, AWS CLI, ou RESTAPI. Lorsque les clés de compartiment S3 sont activées sur votre compartiment, les objets chargés avec une KMS clé spécifiée SSE différente utiliseront leurs propres clés de compartiment S3. Quel que soit votre paramètre de clé de compartiment S3, vous pouvez inclure l'en-tête x-amz-server-side-encryption-bucket-key-enabled
avec une valeur true
ou false
dans votre requête, afin de remplacer le paramètre de compartiment.
Avant de configurer votre compartiment de sorte qu'il utilise une clé de compartiment S3, consultez Modifications à prendre en compte avant d'activer une clé de compartiment S3.
Configuration d'une clé de compartiment S3 à l'aide de la console Amazon S3
Lorsque vous créez un nouveau compartiment, vous pouvez le configurer pour qu'il utilise une clé de compartiment S3 pour SSE KMS les nouveaux objets. Vous pouvez également configurer un compartiment existant pour utiliser une clé de compartiment S3 pour les SSE nouveaux objets en mettant à jour les propriétés de votre compartiment. KMS
Pour de plus amples informations, veuillez consulter Configuration de votre compartiment pour utiliser une clé de compartiment S3 avec SSE : KMS pour les nouveaux objets.
REST API, AWS CLI, et AWS SDKsupport pour S3 Bucket Keys
Vous pouvez utiliser REST API le AWS CLI, ou AWS SDKpour configurer votre compartiment afin qu'il utilise une clé de compartiment S3 pour SSE KMS les nouveaux objets. Vous pouvez également activer une clé de compartiment S3 au niveau de l'objet.
Pour plus d’informations, consultez les ressources suivantes :
Les API opérations suivantes prennent en charge les clés de compartiment S3 pour SSE - KMS :
-
-
ServerSideEncryptionRule
accepte leBucketKeyEnabled
paramètre permettant d'activer et de désactiver une clé de compartiment S3.
-
-
-
ServerSideEncryptionRule
renvoie les paramètres deBucketKeyEnabled
.
-
-
PutObject, CopyObjectCreateMultipartUpload, et POSTObject
-
L'en-tête de demande
x-amz-server-side-encryption-bucket-key-enabled
active ou désactive une clé de compartiment S3 au niveau de l'objet.
-
-
HeadObject, GetObjectUploadPartCopy, UploadPart, et CompleteMultipartUpload
-
L'en-tête de réponse
x-amz-server-side-encryption-bucket-key-enabled
indique si une clé de compartiment S3 est activée ou désactivée pour un objet.
-
Travailler avec AWS CloudFormation
Entrée AWS CloudFormation, la AWS::S3::Bucket
ressource inclut une propriété de chiffrement appelée BucketKeyEnabled
que vous pouvez utiliser pour activer ou désactiver une clé de compartiment S3.
Pour de plus amples informations, veuillez consulter Utilisation AWS CloudFormation.
Modifications à prendre en compte avant d'activer une clé de compartiment S3
Avant d'activer une clé de compartiment S3, notez les modifications suivantes :
IAMou AWS KMS politiques clés
Si vous existez AWS Identity and Access Management (IAM) des politiques ou AWS KMS les politiques clés utilisent votre objet Amazon Resource Name (ARN) comme contexte de chiffrement pour affiner ou limiter l'accès à votre KMS clé. Ces politiques ne fonctionneront pas avec une clé de compartiment S3. Les clés de compartiment S3 utilisent le compartiment ARN comme contexte de chiffrement. Avant d'activer une clé de compartiment S3, mettez à jour vos IAM politiques ou AWS KMS politiques clés pour utiliser votre bucket ARN comme contexte de chiffrement.
Pour plus d'informations sur le contexte de chiffrement et les clés de compartiment S3, consultez Contexte de chiffrement.
CloudTrail événements pour AWS KMS
Après avoir activé une clé de compartiment S3, votre AWS KMS CloudTrail les événements enregistrent votre bucket ARN plutôt que votre objetARN. De plus, vous voyez moins d'KMS CloudTrail événements pour les KMS objets SSE - dans vos journaux. Les informations clés étant limitées dans le temps dans Amazon S3, moins de demandes sont adressées à AWS KMS.
Utilisation d'une clé de compartiment S3 avec réplication
Vous pouvez utiliser les clés de compartiment S3 avec la réplication dans la même région (SRR) et la réplication entre régions (). CRR
Lorsqu'Amazon S3 réplique un objet chiffré, il conserve généralement les paramètres de chiffrement de l'objet réplica dans le compartiment de destination. Toutefois, si l'objet source n'est pas chiffré et que votre compartiment de destination utilise un chiffrement par défaut ou une clé de compartiment S3, Amazon S3 chiffre l'objet avec la configuration du compartiment de destination.
Les exemples suivants illustrent le fonctionnement d'une clé de compartiment S3 avec la réplication. Pour plus d’informations, consultez Réplication d'objets chiffrés (SSE-C, SSE -S3, -, SSE -KMS) DSSE KMS.
Exemple 1 : l'objet source utilise des clés de compartiment S3, le compartiment de destination utilise le chiffrement par défaut
Si votre objet source utilise une clé de compartiment S3 mais que votre compartiment de destination utilise le chiffrement par défaut avec SSE -KMS, l'objet répliqué conserve ses paramètres de chiffrement de clé de compartiment S3 dans le compartiment de destination. Le compartiment de destination utilise toujours le chiffrement par défaut avec SSE -KMS.
Exemple 2 — L'objet source n'est pas chiffré ; le compartiment de destination utilise une clé de compartiment S3 avec SSE - KMS
Si votre objet source n'est pas chiffré et que le compartiment de destination utilise une clé de compartiment S3 avec SSE -KMS, l'objet répliqué est chiffré à l'aide d'une clé de compartiment S3 avec SSE - KMS dans le compartiment de destination. Cela produit un ETag
de l'objet source différent de l'ETag
de l'objet réplica. Vous devez mettre à jour les applications qui utilisent le ETag
pour compenser cette différence.
Utilisation des clés de compartiment S3
Pour plus d'informations sur l'activation et l'utilisation des clés de compartiment S3, consultez les sections suivantes :