Chiffrement des données dans Amazon S3 - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des données dans Amazon S3

AWS Transfer Family utilise les options de chiffrement par défaut que vous avez définies pour votre compartiment Amazon S3 afin de chiffrer vos données. Lorsque vous activez le chiffrement par défaut sur un compartiment, tous les objets sont chiffrés au moment d'être stockés dans le compartiment. Les objets sont chiffrés à l'aide du chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3) ou des clés gérées AWS Key Management Service (AWS KMS SSE-KMS). Pour plus d'informations sur le chiffrement côté serveur, consultez la section Protection des données à l'aide du chiffrement côté serveur dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Les étapes suivantes vous montrent comment chiffrer des données. AWS Transfer Family

Pour autoriser le chiffrement dans AWS Transfer Family

  1. Activez le chiffrement par défaut pour votre compartiment Amazon S3. Pour obtenir des instructions, consultez le chiffrement par défaut d'Amazon S3 pour les compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

  2. Mettez à jour la politique de rôle AWS Identity and Access Management (IAM) attachée à l'utilisateur pour accorder les autorisations requises AWS Key Management Service (AWS KMS).

  3. Si vous utilisez une stratégie de session pour l'utilisateur, celle-ci doit accorder les AWS KMS autorisations requises.

L'exemple suivant montre une politique IAM qui accorde les autorisations minimales requises lors de l'utilisation AWS Transfer Family avec un compartiment Amazon S3 activé pour le AWS KMS chiffrement. Incluez cet exemple de politique à la fois dans la stratégie de rôle IAM de l'utilisateur et dans la stratégie de session, si vous en utilisez une.

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
Note

L'ID de clé KMS que vous spécifiez dans cette politique doit être le même que celui spécifié pour le chiffrement par défaut à l'étape 1.

Le rôle root, ou le rôle IAM utilisé pour l'utilisateur, doit être autorisé dans la politique AWS KMS clé. Pour plus d'informations sur la politique AWS KMS clé, consultez la section Utilisation des politiques clés dans AWS KMS dans le Guide du AWS Key Management Service développeur.