Utilisation d'un chiffrement double couche côté serveur avec des AWS KMS clés (-) DSSE KMS - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un chiffrement double couche côté serveur avec des AWS KMS clés (-) DSSE KMS

L'utilisation d'un chiffrement double couche côté serveur avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS) applique deux couches de chiffrement aux objets lorsqu'ils sont chargés sur Amazon S3. DSSE- vous KMS aide à respecter plus facilement les normes de conformité qui vous obligent à appliquer un chiffrement multicouche à vos données et à avoir le contrôle total de vos clés de chiffrement.

Lorsque vous utilisez DSSE - KMS avec un compartiment Amazon S3, les AWS KMS clés doivent se trouver dans la même région que le compartiment. De plus, lorsque DSSE - KMS est demandé pour l'objet, la somme de contrôle S3 qui fait partie des métadonnées de l'objet est stockée sous forme cryptée. Pour en savoir plus sur le total de contrôle, consultez Vérification de l'intégrité des objets.

Des frais supplémentaires s'appliquent pour l'utilisation de DSSE - KMS et AWS KMS keys. Pour plus d'informations sur DSSE la KMS tarification, consultez AWS KMS key les concepts du guide du AWS Key Management Service développeur et AWS KMS les tarifs.

Note

Les clés de compartiment S3 ne sont pas prises en charge pour DSSE -KMS.

Nécessite un chiffrement double couche côté serveur avec AWS KMS keys (-) DSSE KMS

Pour exiger un chiffrement double couche côté serveur de tous les objets contenus dans un compartiment Amazon S3 déterminé, vous pouvez utiliser une stratégie de compartiment. Par exemple, la politique de compartiment suivante refuse l'autorisation upload object (s3:PutObject) à tout le monde si la demande n'inclut pas d'x-amz-server-side-encryptionen-tête demandant un chiffrement côté serveur avec DSSE -. KMS

{
             "Version":"2012-10-17",
             "Id":"PutObjectPolicy",
             "Statement":[{
                   "Sid":"DenyUnEncryptedObjectUploads",
                   "Effect":"Deny",
                   "Principal":"*",
                   "Action":"s3:PutObject",
                   "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition":{
                      "StringNotEquals":{
                         "s3:x-amz-server-side-encryption":"aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Rubriques