Configuration de votre compartiment pour utiliser une clé de compartiment S3 avec SSE : KMS pour les nouveaux objets

Lorsque vous configurez le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) keys (SSE-KMS), vous pouvez configurer votre compartiment pour utiliser une clé de compartiment S3 pour SSE - KMS sur de nouveaux objets. Les clés de compartiment S3 réduisent le trafic de demandes provenant d'Amazon S3 vers AWS KMS et réduisez le coût de SSE -KMS. Pour de plus amples informations, veuillez consulter Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

Vous pouvez configurer votre compartiment pour utiliser une clé de compartiment S3 pour SSE : KMS sur de nouveaux objets à l'aide de la console Amazon S3 RESTAPI, AWS SDKs, AWS Command Line Interface (AWS CLI), ou AWS CloudFormation. Si vous souhaitez activer ou désactiver une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une CopyObject opération. Pour plus d'informations, reportez-vous Configuration d'une clé de compartiment S3 au niveau d'un objet aux sections etUtilisation d'opérations pat lot S3 pour chiffrer des objets avec des clés de compartiment S3.

Lorsqu'une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement sera le nom de ressource Amazon du compartiment (ARN) et non l'objetARN, par exemplearn:aws:s3:::bucket_ARN. Vous devez mettre à jour vos IAM politiques pour utiliser le bucket ARN dans le contexte de chiffrement. Pour de plus amples informations, veuillez consulter Clés de compartiment S3 et réplication.

Les exemples suivants illustrent le fonctionnement d'une clé de compartiment S3 avec la réplication. Pour plus d’informations, consultez Réplication d'objets chiffrés (SSE-C, SSE -S3, -, SSE -KMS) DSSE KMS. 

Prérequis

Avant de configurer votre compartiment de sorte qu'il utilise une clé de compartiment S3, consultez Modifications à prendre en compte avant d'activer une clé de compartiment S3.

Utiliser la console S3.

Dans la console S3, vous pouvez activer ou désactiver une clé de compartiment S3 pour un nouveau compartiment ou un compartiment existant. Les objets de la console S3 conservent le paramètre de clé de compartiment S3 présent dans la configuration du compartiment. Lorsque vous activez une clé de compartiment S3 pour votre compartiment, les nouveaux objets que vous téléchargez dans le compartiment utilisent une clé de compartiment S3 pour SSE -KMS.

Chargement, copie ou modification d'objets dans des compartiments pour lesquels une clé de compartiment S3 est activée

Si vous chargez, modifiez ou copiez un objet dans un compartiment pour lequel une clé de compartiment S3 est activée, les paramètres de clé de compartiment S3 de cet objet peuvent être mis à jour pour les aligner sur la configuration du compartiment.

Si une clé de compartiment S3 est déjà activée pour un objet, les paramètres de clé de compartiment S3 de cet objet ne changent pas lorsque vous copiez ou modifiez l'objet. Toutefois, si vous modifiez ou copiez un objet pour lequel aucune clé de compartiment S3 n'est activée et que le compartiment de destination a une configuration de clé de compartiment S3, l'objet conserve les paramètres de clé de compartiment S3 du compartiment de destination. Par exemple, si aucune clé de compartiment S3 n'est activée pour votre objet source, mais que la clé de compartiment S3 est activée pour le compartiment de destination, une clé de compartiment S3 est activée pour l'objet.

Pour activer une clé de compartiment S3 lorsque vous créez un nouveau compartiment

1. Connectez-vous au AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Compartiments.

3. Choisissez Créer un compartiment.

4. Entrez le nom de votre bucket, puis choisissez votre Région AWS.

5. Sous Chiffrement par défaut, pour Type de clé de chiffrement, sélectionnez AWS Key Management Service clé (SSE-KMS).

6. Sous AWS KMS touche, effectuez l'une des opérations suivantes pour choisir votre KMS clé :

   • Pour choisir parmi une liste de KMS touches disponibles, choisissez Choisir parmi votre AWS KMS keys, puis choisissez votre KMSclé dans la liste des clés disponibles.

     Les deux Clé gérée par AWS (aws/s3) et vos clés gérées par le client apparaissent dans cette liste. Pour plus d'informations sur les clés gérées par le client, voir Clés client et AWS clés dans le AWS Key Management Service Guide du développeur.

   • Pour saisir la KMS cléARN, choisissez Enter AWS KMS key ARN, et entrez votre KMS clé ARN dans le champ qui apparaît.

   • Pour créer une nouvelle clé gérée par le client dans AWS KMS console, choisissez Créer une KMS clé.

     Pour plus d'informations sur la création d'un AWS KMS key, voir Création de clés dans AWS Key Management Service Guide du développeur.

7. Sous Clé de compartiment, choisissez Activer.

8. Choisissez Créer un compartiment.

   Amazon S3 crée votre compartiment avec une clé de compartiment S3 activée. Les nouveaux objets que vous chargez dans le compartiment utiliseront une clé de compartiment S3. 

   Pour désactiver une clé de compartiment S3, suivez les étapes précédentes et choisissez Désactiver.

Pour activer une clé de compartiment S3 pour un compartiment existant

1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Compartiments.

3. Dans la liste Compartiments, choisissez le compartiment pour lequel vous souhaitez activer une clé de compartiment S3.

4. Choisissez l’onglet Propriétés.

5. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

6. Sous Chiffrement par défaut, pour Type de clé de chiffrement, sélectionnez AWS Key Management Service clé (SSE-KMS).

7. Sous AWS KMS touche, effectuez l'une des opérations suivantes pour choisir votre KMS clé :

   • Pour choisir parmi une liste de KMS touches disponibles, choisissez Choisir parmi votre AWS KMS keys, puis choisissez votre KMSclé dans la liste des clés disponibles.

     Les deux Clé gérée par AWS (aws/s3) et vos clés gérées par le client apparaissent dans cette liste. Pour plus d'informations sur les clés gérées par le client, voir Clés client et AWS clés dans le AWS Key Management Service Guide du développeur.

   • Pour saisir la KMS cléARN, choisissez Enter AWS KMS key ARN, et entrez votre KMS clé ARN dans le champ qui apparaît.

   • Pour créer une nouvelle clé gérée par le client dans AWS KMS console, choisissez Créer une KMS clé.

     Pour plus d'informations sur la création d'un AWS KMS key, voir Création de clés dans AWS Key Management Service Guide du développeur.

8. Sous Clé de compartiment, choisissez Activer.

9. Sélectionnez Save Changes (Enregistrer les modifications).

   Amazon S3 active une clé de compartiment S3 pour les nouveaux objets ajoutés à votre compartiment. Les objets existants n'utilisent pas la clé de compartiment S3. Pour configurer une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une opération CopyObject. Pour plus d’informations, consultez Configuration d'une clé de compartiment S3 au niveau d'un objet .

   Pour désactiver une clé de compartiment S3, suivez les étapes précédentes et choisissez Désactiver.

À l'aide du REST API

Vous pouvez l'utiliser PutBucketEncryptionpour activer ou désactiver une clé de compartiment S3 pour votre compartiment. Pour configurer une clé de compartiment S3 avecPutBucketEncryption, utilisez le type de ServerSideEncryptionRuledonnées, qui inclut le chiffrement par défaut avec SSE -KMS. Vous pouvez également éventuellement utiliser une clé gérée par le client en spécifiant l'ID de KMS clé gérée par le client. 

Pour plus d'informations et des exemples de syntaxe, consultez PutBucketEncryption.

Utilisation de AWS SDKpour Java

L'exemple suivant active le chiffrement du compartiment par défaut avec SSE - KMS et une clé de compartiment S3 à l'aide du AWS SDK for Java.

Java

AmazonS3 s3client = AmazonS3ClientBuilder.standard()
    .withRegion(Regions.DEFAULT_REGION)
    .build();
    
ServerSideEncryptionByDefault serverSideEncryptionByDefault = new ServerSideEncryptionByDefault()
    .withSSEAlgorithm(SSEAlgorithm.KMS);
ServerSideEncryptionRule rule = new ServerSideEncryptionRule()
    .withApplyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
    .withBucketKeyEnabled(true);
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration =
    new ServerSideEncryptionConfiguration().withRules(Collections.singleton(rule));

SetBucketEncryptionRequest setBucketEncryptionRequest = new SetBucketEncryptionRequest()
    .withServerSideEncryptionConfiguration(serverSideEncryptionConfiguration)
    .withBucketName(bucketName);
            
s3client.setBucketEncryption(setBucketEncryptionRequest);

Utilisation de AWS CLI

L'exemple suivant active le chiffrement du compartiment par défaut avec SSE - KMS et une clé de compartiment S3 à l'aide du AWS CLI. user input placeholdersRemplacez-les par vos propres informations.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilisation AWS CloudFormation

Pour plus d'informations sur la configuration d'une clé de compartiment S3 avec AWS CloudFormation, voir AWS: :S3 : :Bucket dans ServerSideEncryptionRule le AWS CloudFormation Guide de l'utilisateur.