Configuration de votre compartiment de sorte qu'il utilise une clé de compartiment S3 avec SSE-KMS pour de nouveaux objets

Lorsque vous configurez le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), vous pouvez configurer votre compartiment pour utiliser une clé de compartiment S3 pour SSE-KMS sur de nouveaux objets. Les clés de compartiment S3 réduisent le trafic de requêtes en provenance d'Amazon S3 AWS KMS et réduisent le coût du SSE-KMS. Pour de plus amples informations, veuillez consulter Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

Vous pouvez configurer votre compartiment pour utiliser une clé de compartiment S3 pour SSE-KMS sur de nouveaux objets à l'aide de la console Amazon S3, de l'API REST, AWS des SDK, AWS Command Line Interface (AWS CLI) ou. AWS CloudFormation Si vous souhaitez activer ou désactiver une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une opération CopyObject. Pour plus d'informations, consultez Configuration d'une clé de compartiment S3 au niveau d'un objet et Utilisation d'opérations pat lot S3 pour chiffrer des objets avec des clés de compartiment S3.

Lorsqu'une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement est l'Amazon Resource Name (ARN) du compartiment source et non l'ARN de l'objet, par exemple, arn:aws:s3:::bucket_ARN. Vous devez mettre à jour vos stratégies IAM pour utiliser l'ARN du compartiment comme contexte de chiffrement. Pour plus d’informations, consultez Clés de compartiment S3 et réplication.

Les exemples suivants illustrent le fonctionnement d'une clé de compartiment S3 avec la réplication. Pour plus d’informations, consultez Réplication d'objets créés avec le chiffrement côté serveur (SSE-C, SSE-S3, SSE-KMS, DSSE-KMS). 

Prérequis

Avant de configurer votre compartiment de sorte qu'il utilise une clé de compartiment S3, consultez Modifications à prendre en compte avant d'activer une clé de compartiment S3.

Utiliser la console S3.

Dans la console S3, vous pouvez activer ou désactiver une clé de compartiment S3 pour un nouveau compartiment ou un compartiment existant. Les objets de la console S3 conservent le paramètre de clé de compartiment S3 présent dans la configuration du compartiment. Lorsque vous activez une clé de compartiment S3 pour votre compartiment, les nouveaux objets que vous chargez dans le compartiment utilisent une clé de compartiment S3 pour SSE-KMS.

Chargement, copie ou modification d'objets dans des compartiments pour lesquels une clé de compartiment S3 est activée

Si vous chargez, modifiez ou copiez un objet dans un compartiment pour lequel une clé de compartiment S3 est activée, les paramètres de clé de compartiment S3 de cet objet peuvent être mis à jour pour les aligner sur la configuration du compartiment.

Si une clé de compartiment S3 est déjà activée pour un objet, les paramètres de clé de compartiment S3 de cet objet ne changent pas lorsque vous copiez ou modifiez l'objet. Toutefois, si vous modifiez ou copiez un objet pour lequel aucune clé de compartiment S3 n'est activée et que le compartiment de destination a une configuration de clé de compartiment S3, l'objet conserve les paramètres de clé de compartiment S3 du compartiment de destination. Par exemple, si aucune clé de compartiment S3 n'est activée pour votre objet source, mais que la clé de compartiment S3 est activée pour le compartiment de destination, une clé de compartiment S3 est activée pour l'objet.

Pour activer une clé de compartiment S3 lorsque vous créez un nouveau compartiment

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Compartiments.

3. Choisissez Créer un compartiment.

4. Entrez le nom de votre compartiment, puis choisissez votre Région AWS.

5. Sous Chiffrement par défaut, pour Type de clé de chiffrement, choisissez CléAWS Key Management Service (SSE-KMS).

6. Sous CléAWS KMS , choisissez votre clé KMS avec l'une des options suivantes :

   • Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos AWS KMS keys, puis choisissez votre clé KMS dans la liste des clés disponibles.

     La clé Clé gérée par AWS (aws/s3) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d'informations sur les clés gérées par le client, consultez la section Clés et AWS clés client dans le Guide du AWS Key Management Service développeur.

   • Pour saisir l'ARN de la clé KMS, choisissez Saisir l'ARN de AWS KMS key , puis saisissez l'ARN de votre clé KMS dans le champ qui s'affiche.

   • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

     Pour plus d'informations sur la création d'un AWS KMS key, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

7. Sous Clé de compartiment, choisissez Activer.

8. Choisissez Créer un compartiment.

   Amazon S3 crée votre compartiment avec une clé de compartiment S3 activée. Les nouveaux objets que vous chargez dans le compartiment utiliseront une clé de compartiment S3. 

   Pour désactiver une clé de compartiment S3, suivez les étapes précédentes et choisissez Désactiver.

Pour activer une clé de compartiment S3 pour un compartiment existant

1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Compartiments.

3. Dans la liste Compartiments, choisissez le compartiment pour lequel vous souhaitez activer une clé de compartiment S3.

4. Choisissez l’onglet Propriétés.

5. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

6. Sous Chiffrement par défaut, pour Type de clé de chiffrement, choisissez CléAWS Key Management Service (SSE-KMS).

7. Sous CléAWS KMS , choisissez votre clé KMS avec l'une des options suivantes :

   • Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos AWS KMS keys, puis choisissez votre clé KMS dans la liste des clés disponibles.

     La clé Clé gérée par AWS (aws/s3) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d'informations sur les clés gérées par le client, consultez la section Clés et AWS clés client dans le Guide du AWS Key Management Service développeur.

   • Pour saisir l'ARN de la clé KMS, choisissez Saisir l'ARN de AWS KMS key , puis saisissez l'ARN de votre clé KMS dans le champ qui s'affiche.

   • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

     Pour plus d'informations sur la création d'un AWS KMS key, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

8. Sous Clé de compartiment, choisissez Activer.

9. Sélectionnez Save Changes (Enregistrer les modifications).

   Amazon S3 active une clé de compartiment S3 pour les nouveaux objets ajoutés à votre compartiment. Les objets existants n'utilisent pas la clé de compartiment S3. Pour configurer une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une opération CopyObject. Pour plus d’informations, consultez Configuration d'une clé de compartiment S3 au niveau d'un objet .

   Pour désactiver une clé de compartiment S3, suivez les étapes précédentes et choisissez Désactiver.

Utilisation de l'API REST

Vous pouvez l'utiliser PutBucketEncryptionpour activer ou désactiver une clé de compartiment S3 pour votre compartiment. Pour configurer une clé de compartiment S3 avecPutBucketEncryption, utilisez le type de ServerSideEncryptionRuledonnées, qui inclut le chiffrement par défaut avec SSE-KMS. Vous pouvez également utiliser une clé gérée par le client en indiquant l'ID de clé KMS de la clé gérée par le client. 

Pour plus d'informations et des exemples de syntaxe, consultez PutBucketEncryption.

Utilisation du AWS SDK pour Java

L'exemple suivant active le chiffrement du compartiment par défaut avec SSE-KMS et une clé de compartiment S3 à l'aide d' AWS SDK for Java.

Java

AmazonS3 s3client = AmazonS3ClientBuilder.standard()
    .withRegion(Regions.DEFAULT_REGION)
    .build();
    
ServerSideEncryptionByDefault serverSideEncryptionByDefault = new ServerSideEncryptionByDefault()
    .withSSEAlgorithm(SSEAlgorithm.KMS);
ServerSideEncryptionRule rule = new ServerSideEncryptionRule()
    .withApplyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
    .withBucketKeyEnabled(true);
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration =
    new ServerSideEncryptionConfiguration().withRules(Collections.singleton(rule));

SetBucketEncryptionRequest setBucketEncryptionRequest = new SetBucketEncryptionRequest()
    .withServerSideEncryptionConfiguration(serverSideEncryptionConfiguration)
    .withBucketName(bucketName);
            
s3client.setBucketEncryption(setBucketEncryptionRequest);

À l'aide du AWS CLI

L'exemple suivant active le chiffrement du compartiment par défaut avec SSE-KMS et une clé de compartiment S3 à l'aide d' AWS CLI. Remplacez user input placeholders par vos propres informations.

aws s3api put-bucket-encryption --bucket DOC-EXAMPLE-BUCKET --server-side-encryption-configuration '{
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

En utilisant AWS CloudFormation

Pour plus d'informations sur la configuration d'une clé de compartiment S3 avec AWS CloudFormation, consultez AWS::S3::Bucket ServerSideEncryptionRulele guide de AWS CloudFormation l'utilisateur.