Configuration du chiffrement des compartiments

Protection des données et chiffrement dans S3 Vectors

Note

Amazon S3 Vectors est en version préliminaire pour Amazon Simple Storage Service et est sujet à modification.

Amazon S3 Vectors assure une durabilité de 99,999999999 % (11 9 s) pour vos données vectorielles, ce qui garantit une fiabilité exceptionnelle pour vos besoins de stockage vectoriel. Cette durabilité est soutenue par l'infrastructure éprouvée d'Amazon S3, conçue pour préserver l'intégrité et la disponibilité des données, même en cas de panne matérielle ou d'autres perturbations.

La protection des données dans S3 Vectors comprend plusieurs niveaux de contrôles de sécurité conçus pour protéger vos données vectorielles au repos et en transit.

Par défaut, tous les nouveaux vecteurs contenus dans les compartiments vectoriels Amazon S3 Vectors utilisent le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Lorsque vous créez un compartiment vectoriel avec un chiffrement SSE-S3, toutes les opérations suivantes sur le compartiment utilisent automatiquement le chiffrement.

S3 Vectors s'intègre également au service de gestion des AWS clés (KMS) pour fournir des options flexibles de gestion des clés de chiffrement, vous permettant de choisir des clés gérées par le client pour le contrôle des autorisations et l'auditabilité.

Configuration du comportement de chiffrement côté serveur pour les compartiments vectoriels Amazon S3

La configuration du chiffrement dans S3 Vectors est un paramètre de sécurité fondamental à spécifier lorsque vous créez un compartiment vectoriel. Cette conception garantit que toutes les données vectorielles stockées dans le compartiment sont cryptées dès leur création. La configuration de chiffrement s'applique à tous les vecteurs, index vectoriels et métadonnées du compartiment, offrant ainsi une protection cohérente sur l'ensemble de votre jeu de données vectorielles dans un compartiment vectoriel.

Important

Les paramètres de chiffrement d'un compartiment vectoriel ne peuvent pas être modifiés une fois le compartiment vectoriel créé. Vous devez examiner attentivement vos exigences en matière de chiffrement lors du processus de création du compartiment, notamment les exigences de conformité, les préférences en matière de gestion des clés et l'intégration à l'infrastructure de sécurité existante.

Le type de chiffrement SSE-S3 ou SSE-KMS est défini au niveau du compartiment vectoriel et s'applique à tous les index vectoriels et vecteurs du compartiment. Vous ne pouvez pas modifier les paramètres de chiffrement pour les index individuels d'un bucket. La configuration de chiffrement s'applique non seulement aux données vectorielles elles-mêmes, mais également à toutes les métadonnées associées.

Utilisation du chiffrement SSE-S3

Le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) fournit une solution de chiffrement simple et efficace pour les compartiments vectoriels qui AWS gère tous les aspects du processus de chiffrement. Cette méthode de chiffrement utilise AES-256 le chiffrement et est conçue pour fournir une sécurité renforcée avec une charge opérationnelle minimale, fournissant aux entreprises un chiffrement robuste sans la complexité des besoins liés à la gestion des clés de chiffrement.

Avec SSE-S3, Amazon S3 gère automatiquement la génération, la rotation et la gestion des clés de chiffrement. Le SSE-S3 fournit une sécurité renforcée sans configuration supplémentaire ni exigences de gestion continue. Les processus de chiffrement et de déchiffrement sont gérés automatiquement par le service, et l'utilisation du chiffrement SSE-S3 n'entraîne aucun frais supplémentaire au-delà de la tarification standard de S3 Vectors.

Utilisation du chiffrement SSE-KMS

Le chiffrement côté serveur à l'aide des AWS clés du service de gestion des clés (SSE-KMS) permet de mieux contrôler les clés de chiffrement et de consigner des audits détaillés sur l'utilisation des clés. Cette méthode de chiffrement est idéale pour les entreprises soumises à des exigences de conformité strictes, celles qui doivent mettre en œuvre des politiques personnalisées de rotation des clés ou les environnements dans lesquels des pistes d'audit détaillées de l'accès aux données sont requises.

SSE-KMS vous permet d'utiliser des clés gérées par le client (CMKs) pour chiffrer vos données vectorielles. Les clés gérées par le client offrent le plus haut niveau de contrôle, vous permettant de définir des politiques clés, d'activer ou de désactiver les clés et de surveiller l'utilisation des clés de bout en bout AWS CloudTrail. Ce niveau de contrôle rend le SSE-KMS particulièrement adapté aux industries réglementées ou aux organisations ayant des exigences spécifiques en matière de gouvernance des données.

Lorsque vous utilisez SSE-KMS avec des clés gérées par le client, vous avez un contrôle total sur les personnes autorisées à utiliser les clés pour chiffrer et déchiffrer les données. Vous pouvez créer des politiques clés détaillées qui spécifient quels utilisateurs, rôles ou services peuvent accéder aux clés.

Considérations importantes pour le SSE-KMS

Exigences relatives au format des clés KMS : S3 Vectors nécessite que vous spécifiiez les clés KMS en utilisant le format Amazon Resource Name (ARN) complet. Les clés IDs ou les alias de clé ne sont pas pris en charge.
Autorisations principales du service : Lorsque vous utilisez des clés gérées par le client avec S3 Vectors, vous devez explicitement accorder des autorisations au principal du service S3 Vectors pour qu'il utilise votre clé KMS. Cette exigence garantit que le service peut chiffrer et déchiffrer vos données en votre nom. Le principal de service qui nécessite un accès estindexing.s3vectors.amazonaws.com.

Exemple : politique de clé KMS pour les vecteurs S3

Pour utiliser une clé KMS gérée par le client avec S3 Vectors, vous devez mettre à jour votre politique en matière de clés afin d'inclure des autorisations pour le principal du service S3 Vectors. Voici un exemple de politique clé complet.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3VectorsServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "indexing.s3vectors.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3vectors:aws-region:123456789012:bucket/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        },
        {
            "Sid": "AllowApplicationAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam:123456789012:role/VectorApplicationRole",
                    "arn:aws:iam:123456789012:user/DataScientist"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3vectors.aws-region.amazonaws.com"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        }
    ]
}

Autorisations KMS requises :
- Autorisation principale du service S3 Vectors :
  - kms:Decrypt— Requis par le responsable du service S3 Vectors (indexing.s3vectors.amazonaws.com) sur votre clé gérée par le client pour maintenir et optimiser l'index lors des opérations en arrière-plan
- Autorisations principales de l'IAM :
  - kms:Decrypt— Nécessaire pour toutes les opérations au niveau vectoriel (PutVectors,, GetVectors QueryVectors, DeleteVectors) ListVectors
  - kms:GenerateDataKey— Nécessaire pour créer un bucket vectoriel à l'aide de la clé gérée par le client
Considérations relatives à l'accès entre comptes : Lorsque vous implémentez des modèles d'accès entre comptes avec SSE-KMS, vous devez vous assurer que la politique des clés KMS autorise l'accès depuis les principaux appropriés aux autres comptes. Le format ARN de la clé devient particulièrement important dans les scénarios entre comptes, car il fournit une référence claire à la clé quel que soit le contexte du compte à partir duquel on y accède.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur les ressources S3 Vectors

Configuration du chiffrement dans les vecteurs S3