Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-) KMS

Le chiffrement côté serveur est le chiffrement des données à leur destination par l'application ou le service qui les reçoit.

Amazon S3 active automatiquement le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) pour les téléchargements de nouveaux objets.

Sauf indication contraire, les compartiments utilisent SSE -S3 par défaut pour chiffrer les objets. Cependant, vous pouvez choisir de configurer les buckets pour utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) à la place. Pour de plus amples informations, veuillez consulter Spécification du chiffrement côté serveur avec AWS KMS (SSE-) KMS.

AWS KMS est un service qui combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Amazon S3 utilise le chiffrement côté serveur avec AWS KMS (SSE-KMS) pour chiffrer les données de vos objets S3. De plus, lorsque SSE - KMS est demandé pour l'objet, la somme de contrôle S3 (dans le cadre des métadonnées de l'objet) est stockée sous forme cryptée. Pour plus d'informations sur le total de contrôle, consultez Vérification de l'intégrité des objets.

Si vous utilisez KMS des touches, vous pouvez AWS KMS utiliser le AWS Management Consoleou AWS KMS APIpour effectuer les opérations suivantes :

Les contrôles de sécurité intégrés AWS KMS peuvent vous aider à respecter les exigences de conformité liées au chiffrement. Vous pouvez utiliser ces KMS clés pour protéger vos données dans les compartiments Amazon S3. Lorsque vous utilisez SSE KMS le chiffrement avec un compartiment S3, celui-ci AWS KMS keys doit se trouver dans la même région que le compartiment.

L'utilisation entraîne des frais supplémentaires AWS KMS keys. Pour plus d'informations, consultez la section Concepts AWS KMS key dans le Guide du développeur AWS Key Management Service et Tarification AWS KMS.

Autorisations

Pour télécharger un objet chiffré avec un AWS KMS key vers Amazon S3, vous devez kms:GenerateDataKey disposer d'autorisations sur la clé. Pour télécharger un objet chiffré avec un AWS KMS key, vous devez kms:Decrypt disposer d'autorisations. Pour plus d'informations sur les AWS KMS autorisations requises pour les téléchargements partitionnés, consultez. Téléchargement en plusieurs parties API et autorisations

AWS KMS keys

Lorsque vous utilisez le chiffrement côté serveur avec AWS KMS (SSE-KMS), vous pouvez utiliser la cléAWS gérée par défaut ou vous pouvez spécifier une clé gérée par le client que vous avez déjà créée. AWS KMS prend en charge le chiffrement des enveloppes. S3 utilise les AWS KMS fonctionnalités de chiffrement des enveloppes pour mieux protéger vos données. Le chiffrement des enveloppes consiste à chiffrer vos données en texte brut à l'aide d'une clé de données, puis à chiffrer cette clé de données à l'aide d'une clé. KMS Pour plus d'informations sur le chiffrement d'enveloppe, consultez Chiffrement d'enveloppe dans le Guide du développeur AWS Key Management Service .

Si vous ne spécifiez pas de clé gérée par le client, Amazon S3 crée automatiquement un Clé gérée par AWS in Compte AWS lorsque vous ajoutez un objet chiffré avec SSE - dans un compartiment KMS pour la première fois. Par défaut, Amazon S3 utilise cette KMS clé pour SSE -KMS.

Si vous souhaitez utiliser une clé gérée par le client pour SSE -KMS, créez une clé de chiffrement symétrique gérée par le client avant de configurer SSE -KMS. Ensuite, lorsque vous configurez SSE - KMS pour votre compartiment, spécifiez la clé gérée par le client existante. Pour plus d'informations sur les clés de chiffrement symétriques, consultez la section KMSClés de chiffrement symétriques dans le manuel du AWS Key Management Service développeur.

En créant une clé gérée par le client, vous disposez de plus de flexibilité et d'un contrôle accru. Par exemple, vous pouvez créer, faire tourner et désactiver les clés gérés par le client. Vous pouvez également définir des contrôles d'accès et auditer les clés gérées par le client que vous utilisez pour protéger vos données. Pour plus d'informations sur les clés gérées et AWS gérées par le client, consultez la section Clés et AWS clés client dans le guide du AWS Key Management Service développeur.

Utilisation SSE du KMS chiffrement pour les opérations entre comptes

Tenez compte des éléments suivants lors de l'utilisation du chiffrement pour les opérations inter-comptes :

Pour plus d'informations sur les circonstances dans lesquelles utiliser des clés gérées par le client et des KMS clés AWS gérées, consultez Dois-je utiliser une clé gérée par le client Clé gérée par AWS ou une clé gérée par le client pour chiffrer mes objets dans Amazon S3 ?

SSE- flux KMS de travail de chiffrement

Si vous choisissez de chiffrer vos données à l'aide d'une clé gérée par le client Clé gérée par AWS ou d'une clé gérée par le client, AWS KMS et qu'Amazon S3 exécute les actions de chiffrement d'enveloppe suivantes :

Lorsque vous demandez que vos données soient déchiffrées, Amazon S3 AWS KMS effectue les actions suivantes :

Audit SSE - KMS chiffrement

Pour identifier les demandes qui spécifient SSE -KMS, vous pouvez utiliser les métriques All SSE - KMS requests et % all SSE - KMS requests dans les métriques Amazon S3 Storage Lens. S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets. Vous pouvez également utiliser le SSE nombre de compartiments KMS activés et le nombre de compartiments KMS activés en % SSE pour comprendre le nombre de compartiments (SSE-KMS) pour le chiffrement des compartiments par défaut. Pour plus d’informations, consultez Évaluer l’activité et l’utilisation de votre stockage avec S3 Storage Lens. Pour obtenir la liste complète des métriques, consultez le Glossaire des métriques S3 Storage Lens.

Pour vérifier l'utilisation de vos AWS KMS clés pour vos SSE données KMS cryptées, vous pouvez utiliser AWS CloudTrail des journaux. Vous pouvez obtenir un aperçu de vos opérations cryptographiques, telles que GenerateDataKey et Decrypt. CloudTrail prend en charge de nombreuses valeurs d'attribut pour filtrer votre recherche, notamment le nom de l'événement, le nom d'utilisateur et la source de l'événement.

Clés de compartiment Amazon S3

Lorsque vous configurez le chiffrement côté serveur à l'aide de AWS KMS (SSE-KMS), vous pouvez configurer vos compartiments pour qu'ils utilisent les clés de compartiment S3 pour -. SSE KMS L'utilisation d'une clé au niveau du compartiment pour SSE - KMS peut réduire les coûts de vos AWS KMS demandes jusqu'à 99 % en diminuant le trafic de demandes d'Amazon S3 vers. AWS KMS

Lorsque vous configurez un compartiment pour utiliser une clé de compartiment S3 pour SSE : KMS sur de nouveaux objets, AWS KMS génère une clé au niveau du compartiment qui est utilisée pour créer des clés de données uniques pour les objets du compartiment. Cette clé de compartiment S3 est utilisée pendant une période limitée dans le temps dans Amazon S3, ce qui réduit encore la nécessité pour Amazon S3 de faire des demandes AWS KMS pour effectuer des opérations de chiffrement. Pour plus d'informations sur l'utilisation des clés de compartiment S3, consultez Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

Exigence du chiffrement côté serveur

Pour exiger le chiffrement côté serveur de tous les objets d'un compartiment Simple Storage Service (Amazon S3) particulier, vous pouvez utiliser une politique de compartiment. Par exemple, la politique de compartiment suivante refuse l'autorisation upload object (s3:PutObject) à tout le monde si la demande n'inclut pas d'x-amz-server-side-encryption-aws-kms-key-iden-tête demandant un chiffrement côté serveur avec SSE -. KMS

{
   "Version":"2012-10-17",
   "Id":"PutObjectPolicy",
   "Statement":[{
         "Sid":"DenyObjectsThatAreNotSSEKMS",
         "Effect":"Deny",
         "Principal":"*",
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*",
         "Condition":{
            "Null":{
               "s3:x-amz-server-side-encryption-aws-kms-key-id":"true"
            }
         }
      }
   ]
}

Pour exiger qu'une donnée AWS KMS key soit utilisée pour chiffrer les objets d'un compartiment, vous pouvez utiliser la clé de s3:x-amz-server-side-encryption-aws-kms-key-id condition. Pour spécifier la KMS clé, vous devez utiliser une clé Amazon Resource Name (ARN) au arn:aws:kms:region:acct-id:key/key-id format. AWS Identity and Access Management ne valide pas si la chaîne pour s3:x-amz-server-side-encryption-aws-kms-key-id existe.

Pour obtenir la liste complète des clés de condition spécifiques à Amazon S3, consultez la section Clés de condition pour Amazon S3 dans la référence d'autorisation de service.

Contexte de chiffrement

Un contexte de chiffrement est un ensemble de paires valeur-clé qui contient des informations contextuelles supplémentaires sur les données. Le contexte de chiffrement n'est pas chiffré. Lorsqu'un contexte de chiffrement est spécifié pour une opération de chiffrement, Amazon S3 doit spécifier le même contexte de chiffrement pour l'opération de déchiffrement. Dans le cas contraire, le déchiffrement échoue. AWS KMS utilise le contexte de chiffrement en tant que données authentifiées supplémentaires (AAD) pour prendre en charge le chiffrement authentifié. Pour plus d'informations sur le contexte de chiffrement, consultez la section Contexte de chiffrement du Guide du développeur AWS Key Management Service .

Par défaut, Amazon S3 utilise l'objet ou le bucket Amazon Resource Name (ARN) comme paire de contextes de chiffrement :

Vous pouvez éventuellement fournir une paire de contextes de chiffrement supplémentaire en utilisant l'x-amz-server-side-encryption-contexten-tête dans une PutObject requête s3 :. Toutefois, étant donné que le contexte de chiffrement n'est pas chiffré, assurez-vous qu'il n'inclut pas d'informations sensibles. Amazon S3 stocke cette paire de clés supplémentaire avec le contexte de chiffrement par défaut. Lorsqu'il traite votre demande PUT, Amazon S3 ajoute le contexte de chiffrement par défaut d'aws:s3:arn à celui que vous fournissez.

Vous pouvez utiliser le contexte de chiffrement pour identifier et classer vos opérations cryptographiques par catégorie. Vous pouvez également utiliser la ARN valeur de contexte de chiffrement par défaut pour suivre les demandes pertinentes en AWS CloudTrail visualisant quel Amazon S3 ARN a été utilisé avec quelle clé de chiffrement.

Dans le requestParameters champ d'un fichier CloudTrail journal, le contexte de chiffrement est similaire au suivant.

"encryptionContext": {
    "aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket1/file_name"
}

Lorsque vous utilisez SSE - KMS avec la fonctionnalité optionnelle S3 Bucket Keys, la valeur du contexte de chiffrement est ARN celle du compartiment.

"encryptionContext": {
    "aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket1"
}

Envoi de demandes pour des objets AWS KMS chiffrés

AWS Signature Version 4 est le processus d'ajout d'informations d'authentification aux AWS demandes envoyées parHTTP. Pour des raisons de sécurité, la plupart des demandes AWS doivent être signées avec une clé d'accès, qui consiste en un identifiant de clé d'accès et une clé d'accès secrète. Ces deux clés sont généralement appelées informations d’identification de sécurité. Pour plus d’informations, consultez Authentification des demandes (AWS Signature Version 4) et Processus de signature Signature version 4.