Protection des données avec le chiffrement côté serveur - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données avec le chiffrement côté serveur

Important

Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail logs, S3 Inventory, S3 Storage Lens, console Amazon S3 et en tant qu'en-tête de API réponse Amazon S3 supplémentaire dans le AWS Command Line Interface and AWS SDKs. Pour plus d'informations, consultez la section Chiffrement par défaut FAQ.

Le chiffrement côté serveur est le chiffrement des données à leur destination par l'application ou le service qui les reçoit. Amazon S3 chiffre vos données au niveau de l'objet lorsqu'il les écrit sur des disques dans AWS centres de données et le déchiffre pour vous lorsque vous y accédez. Tant que vous authentifiez votre demande et que vous avez des autorisations d'accès, il n'y a aucune différence dans la manière dont vous accédez aux objets chiffrés ou déchiffrés. Par exemple, si vous partagez vos objets à l'aide d'un présignéURL, cela URL fonctionne de la même manière pour les objets chiffrés et non chiffrés. En outre, lorsque vous listez des objets dans votre bucket, les API opérations de liste renvoient une liste de tous les objets, qu'ils soient chiffrés ou non.

Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3, et tous les nouveaux objets qui sont chargés dans un compartiment S3 sont automatiquement chiffrés au repos. Le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) est la configuration de chiffrement par défaut pour chaque compartiment d'Amazon S3. Pour utiliser un autre type de chiffrement, vous pouvez soit spécifier le type de chiffrement côté serveur à utiliser dans vos demandes PUT S3, soit définir la configuration de chiffrement par défaut dans le compartiment de destination.

Si vous souhaitez spécifier un autre type de chiffrement dans vos PUT demandes, vous pouvez utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS), chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS) ou chiffrement côté serveur avec des clés fournies par le client (-C). SSE Si vous souhaitez définir une autre configuration de chiffrement par défaut dans le compartiment de destination, vous pouvez utiliser SSE - KMS ou DSSE -KMS.

Note

Vous ne pouvez pas appliquer simultanément différents types de chiffrement côté serveur au même objet.

Si vous devez chiffrer vos objets existants, utilisez S3 Batch Operations et S3 Inventory. Pour plus d'informations, consultez Encrypting objects with Amazon S3 Batch Operations (Chiffrement d'objets avec des opérations par lot Amazon S3) et Exécution des opérations par lot à grande échelle sur des objets Amazon S3.

Vous avez le choix entre quatre options de chiffrement côté serveur, qui s'excluent mutuellement. Votre choix dépendra de la façon dont vous décidez de gérer les clés de chiffrement et du nombre de couches de chiffrement que vous souhaitez appliquer.

Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3. L'option par défaut pour le chiffrement côté serveur utilise les clés gérées par Amazon S3 (SSE-S3). Chaque objet est chiffré à l'aide d'une clé unique. Comme mesure de protection supplémentaire, SSE -S3 chiffre la clé elle-même avec une clé racine qu'elle fait régulièrement pivoter. SSE-S3 utilise l'un des chiffrements par blocs les plus puissants disponibles, la norme de cryptage avancée 256 bits (AES-256), pour crypter vos données. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

Chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS)

Chiffrement côté serveur avec AWS KMS keys (SSE-KMS) est fourni grâce à une intégration du AWS KMS service avec Amazon S3. Avec AWS KMS, vous avez plus de contrôle sur vos clés. Par exemple, vous pouvez afficher des clés distinctes, modifier les politiques de contrôle et suivre les touches dans AWS CloudTrail. En outre, vous pouvez créer et gérer des clés gérées par le client ou utiliser Clés gérées par AWS qui sont propres à vous, à votre service et à votre région. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS).

Chiffrement double couche côté serveur avec AWS Key Management Service (AWS KMS) clés (DSSE-KMS)

Chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS) est similaire à SSE -KMS, mais DSSE - KMS applique deux couches individuelles de chiffrement au niveau de l'objet au lieu d'une seule couche. Comme les deux couches de chiffrement sont appliquées à un objet côté serveur, vous pouvez utiliser un large éventail de Services AWS et des outils pour analyser les données dans S3 tout en utilisant une méthode de cryptage capable de répondre à vos exigences de conformité. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS).

Chiffrement côté serveur avec des clés fournies par le client (-C) SSE

Avec le chiffrement côté serveur avec des clés fournies par le client (SSE-C), vous gérez les clés de chiffrement, tandis qu'Amazon S3 gère le chiffrement lors de l'écriture sur les disques et le déchiffrement lorsque vous accédez à vos objets. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement côté serveur avec des clés fournies par le client (-C) SSE.