Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Migration du client de chiffrement Amazon S3

PDF
RSS
Mode de mise au point
Migration du client de chiffrement Amazon S3 - SDK pour .NET (version 3)
Présentation de la migrationMettez à jour les clients existants vers des clients de transition vers la version 1 pour lire les nouveaux formatsMigrer les clients de transition V1 vers les clients V2 pour écrire de nouveaux formatsMettre à jour les clients V2 pour ne plus lire les formats V1

La version 4 (V4) du SDK pour .NET est en avant-première ! Pour obtenir des informations sur cette nouvelle version en avant-première, consultez le guide du développeur AWS SDK pour .NET (version 4).

Veuillez noter que la version V4 du SDK est en cours de prévisualisation, son contenu est donc sujet à modification.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

La version 4 (V4) du SDK pour .NET est en avant-première ! Pour obtenir des informations sur cette nouvelle version en avant-première, consultez le guide du développeur AWS SDK pour .NET (version 4).

Veuillez noter que la version V4 du SDK est en cours de prévisualisation, son contenu est donc sujet à modification.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cette rubrique explique comment migrer vos applications de la version 1 (V1) du client de chiffrement Amazon Simple Storage Service (Amazon S3) vers la version 2 (V2), et comment garantir la disponibilité des applications tout au long du processus de migration.

Les objets chiffrés avec le client V2 ne peuvent pas être déchiffrés avec le client V1. Afin de faciliter la migration vers le nouveau client sans avoir à rechiffrer tous les objets en même temps, un client « V1-Transitional » a été fourni. Ce client peut déchiffrer les objets chiffrés en V1 et en V2, mais chiffre les objets uniquement dans un format compatible avec la version 1. Le client V2 peut déchiffrer à la fois les objets chiffrés en V1 et en V2 (lorsqu'il est activé pour les objets V1), mais chiffre les objets uniquement dans un format compatible avec la version v2.

Présentation de la migration

Cette migration s'effectue en trois phases. Ces phases sont présentées ici et décrites en détail ultérieurement. Chaque phase doit être terminée pour tous les clients qui utilisent des objets partagés avant le début de la phase suivante.

  1. Mettez à jour les clients existants vers les clients de transition vers la version V1-Transitional afin de lire les nouveaux formats. Tout d'abord, mettez à jour vos applications pour qu'elles dépendent du client V1-Transitional plutôt que du client V1. Le client V1-Transitional permet à votre code existant de déchiffrer les objets écrits par les nouveaux clients V2 et les objets écrits dans un format compatible avec la version 1.

    Note

    Le client V1-Transitional est fourni à des fins de migration uniquement. Procédez à la mise à niveau vers le client V2 après avoir migré vers le client V1-Transitional.

  2. Migrez les clients de transition V1 vers les clients V2 pour écrire de nouveaux formats. Remplacez ensuite tous les clients de transition V1 de vos applications par des clients V2 et définissez le profil de sécurité sur. V2AndLegacy La définition de ce profil de sécurité sur les clients V2 permet à ces clients de déchiffrer des objets chiffrés dans un format compatible avec la version 1.

  3. Mettez à jour les clients V2 pour qu'ils ne lisent plus les formats V1. Enfin, une fois que tous les clients ont été migrés vers la version V2 et que tous les objets ont été chiffrés ou rechiffrés dans un format compatible avec la version 2, définissez le profil de sécurité V2 sur au lieu de. V2 V2AndLegacy Cela empêche le déchiffrement d'objets au format compatible avec la version 1.

Mettez à jour les clients existants vers des clients de transition vers la version 1 pour lire les nouveaux formats

Le client de chiffrement V2 utilise des algorithmes de chiffrement que les anciennes versions du client ne prennent pas en charge. La première étape de la migration consiste à mettre à jour vos clients de déchiffrement V1 afin qu'ils puissent lire le nouveau format.

Le client V1-Transitional permet à vos applications de déchiffrer les objets chiffrés en V1 et en V2. Ce client fait partie du package NuGet Amazon.Extensions.S3.Encryption. Effectuez les étapes suivantes sur chacune de vos applications pour utiliser le client V1-Transitional.

  1. Prenez une nouvelle dépendance vis-à-vis du package Amazon.Extensions.S3.Encryption. Si votre projet dépend directement du AWSSDK.S3 ouAWSSDK. KeyManagementServicepackages, vous devez soit mettre à jour ces dépendances, soit les supprimer afin que leurs versions mises à jour soient intégrées à ce nouveau package.

  2. Remplacez l'usinginstruction appropriée par « Amazon.S3.Encryption à »Amazon.Extensions.S3.Encryption, comme suit : 

    // using Amazon.S3.Encryption;
  using Amazon.Extensions.S3.Encryption;

  3. Reconstruisez et redéployez votre application.

Le client V1-Transitional est entièrement compatible avec l'API du client V1, aucune autre modification de code n'est donc requise.

Migrer les clients de transition V1 vers les clients V2 pour écrire de nouveaux formats

Le client V2 fait partie du package NuGet Amazon.Extensions.S3.Encryption. Il permet à vos applications de déchiffrer les objets chiffrés en V1 et en V2 (si cela est configuré pour le faire), mais ne chiffre les objets qu'au format compatible avec la version v2.

Après avoir mis à jour vos clients existants pour lire le nouveau format de chiffrement, vous pouvez procéder à la mise à jour en toute sécurité de vos applications vers les clients de chiffrement et de déchiffrement V2. Pour utiliser le client V2, effectuez les étapes suivantes sur chacune de vos applications :

  1. Remplacez EncryptionMaterials par EncryptionMaterialsV2

    1. Lorsque vous utilisez KMS :

      1. Fournissez un ID de clé KMS.

      2. Déclarez la méthode de cryptage que vous utilisez, c'est-à-direKmsType.KmsContext.

      3. Fournissez un contexte de chiffrement à KMS à associer à cette clé de données. Vous pouvez envoyer un dictionnaire vide (le contexte de chiffrement Amazon sera toujours intégré), mais il est recommandé de fournir un contexte supplémentaire.

    2. Lorsque vous utilisez des méthodes d'encapsulation de clé fournies par l'utilisateur (chiffrement symétrique ou asymétrique) :

      1. Fournissez une AES ou une RSA instance contenant le matériel de chiffrement.

      2. Déclarez l'algorithme de chiffrement à utiliser, c'est-à-dire SymmetricAlgorithmType.AesGcm ouAsymmetricAlgorithmType.RsaOaepSha1.

  2. Passez AmazonS3CryptoConfiguration à AmazonS3CryptoConfigurationV2 avec la SecurityProfile propriété définie surSecurityProfile.V2AndLegacy.

  3. Remplacez AmazonS3EncryptionClient par AmazonS3EncryptionClientV2 Ce client prend les objets récemment convertis AmazonS3CryptoConfigurationV2 et EncryptionMaterialsV2 les objets des étapes précédentes.

Exemple : KMS vers KMS+Context

Prémigration

using System.Security.Cryptography;
using Amazon.S3.Encryption;

var encryptionMaterial = new EncryptionMaterials("1234abcd-12ab-34cd-56ef-1234567890ab");
var configuration = new AmazonS3CryptoConfiguration()
{
    StorageMode = CryptoStorageMode.ObjectMetadata
};
var encryptionClient = new AmazonS3EncryptionClient(configuration, encryptionMaterial);

Après la migration

using System.Security.Cryptography;
using Amazon.Extensions.S3.Encryption;
using Amazon.Extensions.S3.Encryption.Primitives;

var encryptionContext = new Dictionary<string, string>();
var encryptionMaterial = new EncryptionMaterialsV2("1234abcd-12ab-34cd-56ef-1234567890ab", KmsType.KmsContext, encryptionContext);
var configuration = new AmazonS3CryptoConfigurationV2(SecurityProfile.V2AndLegacy)
{
    StorageMode = CryptoStorageMode.ObjectMetadata
};
var encryptionClient = new AmazonS3EncryptionClientV2(configuration, encryptionMaterial);

Exemple : algorithme symétrique (enroulement de clé AES-CBC vers AES-GCM)

StorageMode peut avoir la valeur ObjectMetadata ou InstructionFile.

Prémigration

using System.Security.Cryptography;
using Amazon.S3.Encryption;

var symmetricAlgorithm = Aes.Create();
var encryptionMaterial = new EncryptionMaterials(symmetricAlgorithm);
var configuration = new AmazonS3CryptoConfiguration()
{
    StorageMode = CryptoStorageMode.ObjectMetadata
};
var encryptionClient = new AmazonS3EncryptionClient(configuration, encryptionMaterial);

Après la migration

using System.Security.Cryptography;
using Amazon.Extensions.S3.Encryption;
using Amazon.Extensions.S3.Encryption.Primitives;

var symmetricAlgorithm = Aes.Create();
var encryptionMaterial = new EncryptionMaterialsV2(symmetricAlgorithm, SymmetricAlgorithmType.AesGcm);
var configuration = new AmazonS3CryptoConfigurationV2(SecurityProfile.V2AndLegacy)
{
    StorageMode = CryptoStorageMode.ObjectMetadata
};
var encryptionClient = new AmazonS3EncryptionClientV2(configuration, encryptionMaterial);
Note

Lorsque vous déchiffrez avec AES-GCM, lisez l'objet dans son intégralité avant de commencer à utiliser les données déchiffrées. Cela permet de vérifier que l'objet n'a pas été modifié depuis qu'il a été chiffré.

Exemple : algorithme asymétrique (RSA to RSA-OAEP-SHA 1 Key Wrap)

StorageMode peut avoir la valeur ObjectMetadata ou InstructionFile.

Prémigration

using System.Security.Cryptography;
using Amazon.S3.Encryption;

var asymmetricAlgorithm = RSA.Create();
var encryptionMaterial = new EncryptionMaterials(asymmetricAlgorithm);
var configuration = new AmazonS3CryptoConfiguration()
{
    StorageMode = CryptoStorageMode.ObjectMetadata
};
var encryptionClient = new AmazonS3EncryptionClient(configuration, encryptionMaterial);

Après la migration

using System.Security.Cryptography;
using Amazon.Extensions.S3.Encryption;
using Amazon.Extensions.S3.Encryption.Primitives;

var asymmetricAlgorithm = RSA.Create();
var encryptionMaterial = new EncryptionMaterialsV2(asymmetricAlgorithm, AsymmetricAlgorithmType.RsaOaepSha1);
var configuration = new AmazonS3CryptoConfigurationV2(SecurityProfile.V2AndLegacy)
{
    StorageMode = CryptoStorageMode.ObjectMetadata
};
var encryptionClient = new AmazonS3EncryptionClientV2(configuration, encryptionMaterial);

Mettre à jour les clients V2 pour ne plus lire les formats V1

À terme, tous les objets auront été chiffrés ou rechiffrés à l'aide d'un client V2. Une fois cette conversion terminée, vous pouvez désactiver la compatibilité V1 dans les clients V2 en définissant la SecurityProfile propriété surSecurityProfile.V2, comme indiqué dans l'extrait suivant.

//var configuration = new AmazonS3CryptoConfigurationV2(SecurityProfile.V2AndLegacy);
var configuration = new AmazonS3CryptoConfigurationV2(SecurityProfile.V2);

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.