Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3
Important
Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de API réponse Amazon S3 supplémentaire dans le AWS Command Line Interface et AWS SDKs. Pour plus d'informations, consultez la section Chiffrement par défaut FAQ.
Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3, et les objets sont automatiquement chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Ce paramètre de chiffrement s'applique à tous les objets de vos compartiments Amazon S3.
Si vous avez besoin d'un contrôle accru sur vos clés, par exemple pour gérer la rotation des clés et l'attribution des politiques d'accès, vous pouvez choisir d'utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS) ou le chiffrement double couche côté serveur avec AWS KMS clés (-). DSSE KMS Pour plus d'informations sur les KMS touches d'édition, consultez la section Modification des clés dans le Guide AWS Key Management Service du développeur.
Note
Nous avons modifié les compartiments afin de chiffrer automatiquement les nouveaux chargements d'objets. Si vous avez déjà créé un compartiment sans chiffrement par défaut, Amazon S3 activera le chiffrement par défaut pour le compartiment à l'aide de SSE -S3. Aucune modification ne sera apportée à la configuration de chiffrement par défaut pour un compartiment existant déjà KMS configuré par SSE -S3 ou SSE -. Si vous souhaitez chiffrer vos objets avec SSE -KMS, vous devez modifier le type de chiffrement dans les paramètres de votre compartiment. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-) KMS.
Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE -KMS, vous pouvez également activer les clés de compartiment S3 afin de réduire le trafic de demandes en provenance d'Amazon S3 AWS KMS et de réduire le coût du chiffrement. Pour de plus amples informations, veuillez consulter Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.
Pour identifier les compartiments dans lesquels SSE le chiffrement par défaut KMS est activé, vous pouvez utiliser les métriques Amazon S3 Storage Lens. S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets. Pour plus d'informations, consultez Using S3 Storage Lens to protect your data (Utilisation de S3 Storage Lens pour protéger vos données).
Lorsque vous utilisez le chiffrement côté serveur, Amazon S3 chiffre un objet avant de l'enregistrer sur disque et le déchiffre lorsque vous téléchargez l'objet. Pour plus d'informations sur la protection des données à l'aide du chiffrement côté serveur et de la gestion des clés de chiffrement, consultez Protection des données avec le chiffrement côté serveur.
Pour plus d'informations sur les autorisations requises pour le chiffrement par défaut, voir PutBucketEncryptiondans le Amazon Simple Storage Service API Reference.
Vous pouvez configurer le comportement de chiffrement par défaut d'Amazon S3 pour un compartiment S3 à l'aide de la console Amazon S3 AWS SDKs, de l'Amazon S3 REST API et de l'interface de ligne de AWS commande (AWS CLI).
Chiffrement des objets existants
Pour chiffrer vos objets Amazon S3 non chiffrés existants, vous pouvez utiliser des opérations par lot Amazon S3. Vous fournissez à S3 Batch Operations une liste d'objets sur lesquels opérer, et Batch Operations appelle le correspondant API pour effectuer l'opération spécifiée. Vous pouvez utiliser l'opération de copie des opérations par lot pour copier des objets non chiffrés et les réécrire dans le même compartiment en tant qu'objets chiffrés. Une tâche d'opérations par lots peut effectuer l'opération spécifiée sur des milliards d'objets. Pour plus d’informations, consultez Exécution d'opérations sur des objets en masse avec Batch Operations et le billet de blog sur le stockage AWS intitulé Encrypting objects with Amazon S3 Batch Operations
Vous pouvez également chiffrer des objets existants à l'aide de l'CopyObject
APIopération ou de la copy-object
AWS CLI commande. Pour plus d’informations, consultez le billet de blog sur le stockage AWS intitulé Encrypting existing Amazon S3 objects with the AWS CLI
Note
Les compartiments Amazon S3 dont le chiffrement par défaut est défini sur SSE - KMS ne peuvent pas être utilisés comme compartiments de destination pour. Enregistrement de demandes avec journalisation des accès au serveur Seul le chiffrement par SSE défaut -S3 est pris en charge pour les compartiments de destination des journaux d'accès au serveur.
Utilisation SSE du KMS chiffrement pour les opérations entre comptes
Tenez compte des éléments suivants lors de l'utilisation du chiffrement pour les opérations inter-comptes :
-
Si aucun nom de ressource AWS KMS key Amazon (ARN) ou alias n'est fourni au moment de la demande ou via la configuration de chiffrement par défaut du bucket, le Clé gérée par AWS (
aws/s3
) est utilisé. -
Si vous téléchargez ou accédez à des objets S3 en utilisant des principes AWS Identity and Access Management (IAM) identiques Compte AWS à ceux de votre KMS clé, vous pouvez utiliser le Clé gérée par AWS ()
aws/s3
. -
Utilisez une clé gérée par le client si vous souhaitez accorder un accès intercompte à vos objets S3. Vous pouvez configurer la politique d'une clé gérée par le client afin d'autoriser l'accès à partir d'un autre compte.
-
Si vous spécifiez une KMS clé gérée par le client, nous vous recommandons d'utiliser une KMS clé entièrement qualifiéeARN. Si vous utilisez plutôt un alias de KMS clé, AWS KMS la clé est résolue dans le compte du demandeur. Ce comportement peut entraîner le chiffrement des données à l'aide d'une KMS clé appartenant au demandeur, et non au propriétaire du compartiment.
-
Vous devez spécifier une clé pour laquelle vous (le demandeur) avez obtenu l'autorisation de
Encrypt
. Pour plus d'informations, voir Autoriser les utilisateurs de clés à utiliser une KMS clé pour des opérations cryptographiques dans le Guide du AWS Key Management Service développeur.
Pour plus d'informations sur les circonstances dans lesquelles utiliser des clés gérées par le client et des KMS clés AWS gérées, consultez Dois-je utiliser une clé gérée par le client Clé gérée par AWS ou une clé gérée par le client pour chiffrer mes objets dans Amazon S3 ?
Utilisation du chiffrement par défaut avec la réplication
Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s'applique :
-
Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l'aide des paramètres de chiffrement par défaut du compartiment de destination. Par conséquent, les étiquettes d'entité (ETags) des objets sources sont différentes de celles ETags des objets répliqués. Si certaines applications l'utilisentETags, vous devez les mettre à jour pour tenir compte de cette différence.
-
Si les objets du compartiment source sont chiffrés à l'aide d'un chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), d'un chiffrement côté serveur avec des clés AWS Key Management Service (SSE-AWS KMS KMS) ou d'un chiffrement double couche côté serveur avec des AWS KMS clés (DSSE-KMS), les objets répliques du compartiment de destination utilisent le même type de chiffrement que les objets source. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.
Pour plus d'informations sur l'utilisation du chiffrement par défaut avec SSE -KMS, consultezRéplication d'objets chiffrés.
Utilisation des clés de compartiment Amazon S3 avec chiffrement par défaut
Lorsque vous configurez votre compartiment à utiliser SSE KMS comme comportement de chiffrement par défaut pour les nouveaux objets, vous pouvez également configurer les clés de compartiment S3. Les clés de compartiment S3 réduisent le nombre de transactions depuis Amazon S3 AWS KMS afin de réduire le coût de SSE -KMS.
Lorsque vous configurez votre compartiment pour utiliser les clés de compartiment S3 pour SSE : KMS sur de nouveaux objets, AWS KMS génère une clé au niveau du compartiment qui est utilisée pour créer une clé de données unique pour les objets du compartiment. Cette clé de compartiment S3 est utilisée pendant une période limitée dans le temps dans Amazon S3, ce qui réduit la nécessité pour Amazon S3 de faire des demandes AWS KMS pour effectuer des opérations de chiffrement.
Pour plus d'informations sur l'utilisation des clés de compartiment S3, consultez Utilisation de clés de compartiment Amazon S3..