Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3 - Amazon Simple Storage Service
Utilisation SSE du KMS chiffrement pour les opérations entre comptesUtilisation du chiffrement par défaut avec la réplicationUtilisation des clés de compartiment Amazon S3 avec chiffrement par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3

Important

Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail logs, S3 Inventory, S3 Storage Lens, console Amazon S3 et en tant qu'en-tête de API réponse Amazon S3 supplémentaire dans le AWS Command Line Interface and AWS SDKs. Pour plus d'informations, consultez la section Chiffrement par défaut FAQ.

Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3, et les objets sont automatiquement chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Ce paramètre de chiffrement s'applique à tous les objets de vos compartiments Amazon S3.

Si vous avez besoin d'un meilleur contrôle sur vos clés, par exemple pour gérer la rotation des clés et l'octroi des politiques d'accès, vous pouvez choisir d'utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS), ou chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS). Pour plus d'informations sur la modification des KMS touches, consultez la section Modification des touches dans AWS Key Management Service Guide du développeur.

Note

Nous avons modifié les compartiments afin de chiffrer automatiquement les nouveaux chargements d'objets. Si vous avez déjà créé un compartiment sans chiffrement par défaut, Amazon S3 activera le chiffrement par défaut pour le compartiment à l'aide de SSE -S3. Aucune modification ne sera apportée à la configuration de chiffrement par défaut pour un compartiment existant déjà KMS configuré par SSE -S3 ou SSE -. Si vous souhaitez chiffrer vos objets avec SSE -KMS, vous devez modifier le type de chiffrement dans les paramètres de votre compartiment. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS).

Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE -KMS, vous pouvez également activer les clés de compartiment S3 pour réduire le trafic de demandes d'Amazon S3 vers AWS KMS et réduisez le coût du chiffrement. Pour de plus amples informations, veuillez consulter Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

Pour identifier les compartiments dans lesquels SSE le chiffrement par défaut KMS est activé, vous pouvez utiliser les métriques Amazon S3 Storage Lens. S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets. Pour plus d'informations, consultez Using S3 Storage Lens to protect your data (Utilisation de S3 Storage Lens pour protéger vos données).

Lorsque vous utilisez le chiffrement côté serveur, Amazon S3 chiffre un objet avant de l'enregistrer sur disque et le déchiffre lorsque vous téléchargez l'objet. Pour plus d'informations sur la protection des données à l'aide du chiffrement côté serveur et de la gestion des clés de chiffrement, consultez Protection des données avec le chiffrement côté serveur.

Pour plus d'informations sur les autorisations requises pour le chiffrement par défaut, voir PutBucketEncryptiondans le Amazon Simple Storage Service API Reference.

Vous pouvez configurer le comportement de chiffrement par défaut d'Amazon S3 pour un compartiment S3 à l'aide de la console Amazon S3, AWS SDKs, l'Amazon S3 REST API et le AWS Interface de ligne de commande (AWS CLI).

Chiffrement des objets existants

Pour chiffrer vos objets Amazon S3 non chiffrés existants, vous pouvez utiliser des opérations par lot Amazon S3. Vous fournissez à S3 Batch Operations une liste d'objets sur lesquels opérer, et Batch Operations appelle le correspondant API pour effectuer l'opération spécifiée. Vous pouvez utiliser l'opération de copie des opérations par lot pour copier des objets non chiffrés et les réécrire dans le même compartiment en tant qu'objets chiffrés. Une tâche d'opérations par lots peut effectuer l'opération spécifiée sur des milliards d'objets. Pour plus d'informations, consultez Exécution des opérations par lot à grande échelle sur des objets Amazon S3 et le AWS Article de blog sur le stockage Chiffrer des objets avec Amazon S3 Batch Operations

Vous pouvez également chiffrer des objets existants en utilisant l'CopyObjectAPIopération ou copy-object AWS CLI commande. Pour de plus amples informations, veuillez consulter le .AWS Article de blog sur le stockage Chiffrer des objets Amazon S3 existants avec le AWS CLI.

Note

Les compartiments Amazon S3 dont le chiffrement par défaut est défini sur SSE - KMS ne peuvent pas être utilisés comme compartiments de destination pour. Enregistrement de demandes avec journalisation des accès au serveur Seul le chiffrement par SSE défaut -S3 est pris en charge pour les compartiments de destination des journaux d'accès au serveur.

Utilisation SSE du KMS chiffrement pour les opérations entre comptes

Tenez compte des éléments suivants lors de l'utilisation du chiffrement pour les opérations inter-comptes :

  • Si un AWS KMS key Le nom de ressource Amazon (ARN) ou l'alias n'est pas fourni au moment de la demande ou par le biais de la configuration de chiffrement par défaut du compartiment, le Clé gérée par AWS (aws/s3) est utilisé.

  • Si vous chargez ou accédez à des objets S3 en utilisant AWS Identity and Access Management (IAM) principes qui se situent dans le même Compte AWS comme KMS clé, vous pouvez utiliser le Clé gérée par AWS (aws/s3).

  • Utilisez une clé gérée par le client si vous souhaitez accorder un accès intercompte à vos objets S3. Vous pouvez configurer la politique d'une clé gérée par le client afin d'autoriser l'accès à partir d'un autre compte.

  • Si vous spécifiez une KMS clé gérée par le client, nous vous recommandons d'utiliser une KMS clé entièrement qualifiéeARN. Si vous utilisez plutôt un alias de KMS clé, AWS KMS résout la clé dans le compte du demandeur. Ce comportement peut entraîner le chiffrement des données à l'aide d'une KMS clé appartenant au demandeur, et non au propriétaire du compartiment.

  • Vous devez spécifier une clé pour laquelle vous (le demandeur) avez obtenu l'autorisation de Encrypt. Pour plus d'informations, voir Autoriser les utilisateurs de clés à utiliser une KMS clé pour des opérations cryptographiques dans le AWS Key Management Service Guide du développeur.

Pour plus d'informations sur les circonstances dans lesquelles utiliser les clés gérées par le client et AWS KMSclés gérées, voir Dois-je utiliser un Clé gérée par AWS ou une clé gérée par le client pour chiffrer mes objets dans Amazon S3 ?

Utilisation du chiffrement par défaut avec la réplication

Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s'applique :

  • Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l'aide des paramètres de chiffrement par défaut du compartiment de destination. Par conséquent, les balises d'entité (ETags) des objets source sont différentes de celles ETags des objets répliqués. Si certaines applications l'utilisentETags, vous devez les mettre à jour pour tenir compte de cette différence.

  • Si les objets du compartiment source sont chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS), ou chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS), les objets répliques du compartiment de destination utilisent le même type de chiffrement que les objets source. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.

Pour plus d'informations sur l'utilisation du chiffrement par défaut avec SSE -KMS, consultezRéplication d'objets chiffrés.

Utilisation des clés de compartiment Amazon S3 avec chiffrement par défaut

Lorsque vous configurez votre compartiment à utiliser SSE KMS comme comportement de chiffrement par défaut pour les nouveaux objets, vous pouvez également configurer les clés de compartiment S3. Les clés de compartiment S3 réduisent le nombre de transactions d'Amazon S3 à AWS KMS pour réduire le coût de SSE -KMS.

Lorsque vous configurez votre compartiment pour utiliser les clés de compartiment S3 pour SSE : KMS sur de nouveaux objets, AWS KMS génère une clé au niveau du compartiment qui est utilisée pour créer une clé de données unique pour les objets du compartiment. Cette clé de compartiment S3 est utilisée pendant une période limitée dans le temps dans Amazon S3, ce qui réduit la nécessité pour Amazon S3 d'envoyer des demandes à AWS KMS pour terminer les opérations de chiffrement.

Pour plus d'informations sur l'utilisation des clés de compartiment S3, consultez Utilisation de clés de compartiment Amazon S3..