Sécurité - Amazon EKS
Sécurité et conformité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité

Sécurité et conformité

Envisagez S3 avec KMS pour un stockage conforme au chiffrement

Sauf indication contraire de votre part, tous les compartiments S3 utilisent SSE-S3 par défaut pour chiffrer les objets au repos. Toutefois, vous pouvez choisir de configurer les compartiments pour utiliser le chiffrement côté serveur avec les clés AWS Key Management Service (AWS KMS) (SSE-KMS) à la place. Les contrôles de sécurité dans AWS KMS peuvent vous aider à respecter les exigences de conformité liées au chiffrement. Vous pouvez utiliser ces clés KMS pour protéger les données dans les compartiments Simple Storage Service (Amazon S3). Lorsque vous utilisez le chiffrement SSE-KMS avec un compartiment S3, les clés AWS KMS doivent se trouver dans la même région que le compartiment.

Configurez vos compartiments à usage général pour utiliser les clés de compartiment S3 pour SSE-KMS, afin de réduire les coûts de vos demandes AWS KMS jusqu'à 99 % en diminuant le trafic de demandes d'Amazon S3 vers AWS KMS. Les clés de compartiment S3 sont toujours activées pour GET les PUT opérations dans un compartiment de répertoire et ne peuvent pas être désactivées.

Notez qu'Amazon S3 Express One Zone utilise un type de compartiment spécifique appelé compartiment d'annuaire S3. Les buckets d'annuaire sont exclusivement destinés à la classe de stockage S3 Express One Zone et permettent un accès à haute performance avec une faible latence. Pour configurer le chiffrement de compartiment par défaut sur un compartiment d'annuaire S3, utilisez l'interface de ligne de commande AWS et spécifiez l'ID ou l'ARN de la clé KMS, et non l'alias, comme dans l'exemple suivant :

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

Assurez-vous que le rôle IAM de votre pod EKS dispose des autorisations KMS (par exemplekms:Decrypt) pour accéder aux objets chiffrés. Testez cela dans un environnement intermédiaire en téléchargeant un exemple de modèle dans le compartiment, en le montant dans un module (par exemple, via le pilote Mountpoint S3 CSI) et en vérifiant que le module peut lire les données cryptées sans erreur. Journaux d'audit via AWS CloudTrail pour confirmer la conformité aux exigences de chiffrement. Consultez la documentation KMS pour les détails de configuration et la gestion des clés.