Chiffrez les objets stockés par File Gateway dans Amazon S3 - AWS Storage Gateway

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrez les objets stockés par File Gateway dans Amazon S3

S3 File Gateway prend en charge les méthodes suivantes de chiffrement côté serveur pour les données stockées dans Amazon S3 :

  • SSE-S3 — Par défaut, tous les nouveaux objets chargés dans des compartiments Amazon S3 utilisent le chiffrement côté serveur avec des clés gérées par Amazon S3. Pour plus d'informations, consultez la section Utilisation du chiffrement côté serveur avec les clés gérées par Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

  • SSE-KMS — Vous pouvez configurer votre partage de fichiers pour utiliser le chiffrement côté serveur avec des clés gérées AWS Key Management Service ()AWS KMS. AWS KMS est un service qui combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Pour plus d'informations, voir Qu'est-ce que le service de gestion des AWS clés ? dans le Guide AWS Key Management Service du développeur.

  • DSSE-KMS — Le chiffrement double couche côté serveur avec AWS KMS clés applique deux couches de chiffrement aux objets lorsqu'ils sont chargés sur Amazon S3. Cela permet de respecter les normes de conformité pour le chiffrement multicouche. Pour plus d'informations, consultez la section Utilisation du chiffrement double couche côté serveur avec des AWS KMS clés dans le guide de l'utilisateur d'Amazon Simple Storage Service.

    Note

    L'utilisation du DSSE-KMS et AWS KMS des clés entraîne des frais supplémentaires. Pour en savoir plus, consultez Pricing AWS KMS (Tarification).

Vous pouvez spécifier une méthode de chiffrement lorsque vous créez un nouveau partage de fichiers à l'aide de la console Storage Gateway ou de l'API Storage Gateway. Pour les procédures relatives à la console, voir Création d'un partage de fichiers NFS avec une configuration personnalisée ouCréation d'un partage de fichiers SMB avec une configuration personnalisée. Pour plus d'informations sur les commandes d'API correspondantes, consultez Create NFSFile Share ou Create SMBFile Share dans le AWS Storage Gateway API Reference.

Vous pouvez également mettre à jour les paramètres de chiffrement d'un partage de fichiers existant à l'aide de la console Storage Gateway ou de l'API Storage Gateway. Pour la procédure relative à la console, voirModifier la méthode de chiffrement côté serveur pour un partage de fichiers existant. Pour plus d'informations sur les commandes d'API correspondantes, consultez Update NFSFile Share ou Update SMBFile Share dans le AWS Storage Gateway API Reference.

Note

Après avoir mis à jour la méthode de chiffrement, la passerelle utilise la nouvelle méthode pour tous les nouveaux objets qu'elle crée dans Amazon S3 et pour tous les objets stockés qu'elle met à jour ou modifie à l'avenir. Les objets Amazon S3 existants ne recevront la nouvelle méthode de chiffrement que s'ils sont mis à jour ou modifiés par la passerelle.

Important

Assurez-vous que votre partage de fichiers utilise le même type de chiffrement que le compartiment Amazon S3 dans lequel il stocke vos données.

Si vous configurez votre passerelle de fichiers pour utiliser SSE-KMS ou DSSE-KMS pour le chiffrement, vous devez ajouter manuellementkms:Encrypt,, kms:Decrypt kms:ReEncrypt*kms:GenerateDataKey, et des kms:DescribeKey autorisations au rôle IAM associé au partage de fichiers. Pour plus d'informations, consultez Using Identity-Based Policies (IAM Policies) pour Storage Gateway.