Configuration de votre compartiment pour utiliser une clé de compartiment S3 avec SSE : KMS pour les nouveaux objets - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de votre compartiment pour utiliser une clé de compartiment S3 avec SSE : KMS pour les nouveaux objets

Lorsque vous configurez le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), vous pouvez configurer votre compartiment pour qu'il utilise une clé de compartiment S3 pour SSE - KMS sur les nouveaux objets. Les clés de compartiment S3 réduisent le trafic de demandes en provenance d'Amazon S3 AWS KMS et réduisent le coût de SSE -KMS. Pour de plus amples informations, veuillez consulter Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

Vous pouvez configurer votre compartiment pour utiliser une clé de compartiment S3 pour KMS les SSE nouveaux objets à l'aide de la console Amazon S3 RESTAPI, AWS SDKs,, AWS Command Line Interface (AWS CLI) ou AWS CloudFormation. Si vous souhaitez activer ou désactiver une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une opération CopyObject. Pour plus d'informations, consultez Configuration d'une clé de compartiment S3 au niveau d'un objet et Utilisation des opérations par lots pour activer les clés de compartiment S3 pour SSE - KMS.

Lorsqu'une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement sera le nom de ressource Amazon du compartiment (ARN) et non l'objetARN, par exemplearn:aws:s3:::bucket_ARN. Vous devez mettre à jour vos IAM politiques pour utiliser le bucket ARN dans le contexte de chiffrement. Pour de plus amples informations, veuillez consulter Clés de compartiment S3 et réplication.

Les exemples suivants illustrent le fonctionnement d'une clé de compartiment S3 avec la réplication. Pour plus d’informations, consultez Réplication d'objets chiffrés (SSE-S3, SSE -, DSSE - KMSKMS, SSE -C)

Prérequis

Avant de configurer votre compartiment de sorte qu'il utilise une clé de compartiment S3, consultez Modifications à prendre en compte avant d'activer une clé de compartiment S3.

Rubriques

    Dans la console S3, vous pouvez activer ou désactiver une clé de compartiment S3 pour un nouveau compartiment ou un compartiment existant. Les objets de la console S3 conservent le paramètre de clé de compartiment S3 présent dans la configuration du compartiment. Lorsque vous activez une clé de compartiment S3 pour votre compartiment, les nouveaux objets que vous téléchargez dans le compartiment utilisent une clé de compartiment S3 pour SSE -KMS.

    Chargement, copie ou modification d'objets dans des compartiments pour lesquels une clé de compartiment S3 est activée

    Si vous chargez, modifiez ou copiez un objet dans un compartiment pour lequel une clé de compartiment S3 est activée, les paramètres de clé de compartiment S3 de cet objet peuvent être mis à jour pour les aligner sur la configuration du compartiment.

    Si une clé de compartiment S3 est déjà activée pour un objet, les paramètres de clé de compartiment S3 de cet objet ne changent pas lorsque vous copiez ou modifiez l'objet. Toutefois, si vous modifiez ou copiez un objet pour lequel aucune clé de compartiment S3 n'est activée et que le compartiment de destination a une configuration de clé de compartiment S3, l'objet conserve les paramètres de clé de compartiment S3 du compartiment de destination. Par exemple, si aucune clé de compartiment S3 n'est activée pour votre objet source, mais que la clé de compartiment S3 est activée pour le compartiment de destination, une clé de compartiment S3 est activée pour l'objet.

    Pour activer une clé de compartiment S3 lorsque vous créez un nouveau compartiment

    1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

    2. Dans le panneau de navigation de gauche, choisissez Compartiments.

    3. Choisissez Créer un compartiment.

    4. Entrez le nom de votre compartiment, puis choisissez votre Région AWS.

    5. Sous Chiffrement par défaut, pour Type de clé de chiffrement, choisissez AWS Key Management Service clé (SSE-KMS).

    6. Sous AWS KMS clé, effectuez l'une des opérations suivantes pour choisir votre KMS clé :

      • Pour choisir parmi une liste de KMS clés disponibles, choisissez Choisir parmi votre AWS KMS keys, puis choisissez votre KMSclé dans la liste des clés disponibles.

        La clé Clé gérée par AWS (aws/s3) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d'informations sur les clés gérées par le client, consultez la section Clés et AWS clés client dans le Guide du AWS Key Management Service développeur.

      • Pour saisir la KMS cléARN, choisissez Entrée AWS KMS key ARN, puis entrez votre KMS clé ARN dans le champ qui apparaît.

      • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

        Pour plus d'informations sur la création d'un AWS KMS key, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

    7. Sous Clé de compartiment, choisissez Activer.

    8. Choisissez Créer un compartiment.

      Amazon S3 crée votre compartiment avec une clé de compartiment S3 activée. Les nouveaux objets que vous chargez dans le compartiment utiliseront une clé de compartiment S3. 

      Pour désactiver une clé de compartiment S3, suivez les étapes précédentes et choisissez Désactiver.

    Pour activer une clé de compartiment S3 pour un compartiment existant

    1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

    2. Dans le panneau de navigation de gauche, choisissez Compartiments.

    3. Dans la liste Compartiments, choisissez le compartiment pour lequel vous souhaitez activer une clé de compartiment S3.

    4. Choisissez l’onglet Propriétés.

    5. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

    6. Sous Chiffrement par défaut, pour Type de clé de chiffrement, choisissez AWS Key Management Service clé (SSE-KMS).

    7. Sous AWS KMS clé, effectuez l'une des opérations suivantes pour choisir votre KMS clé :

      • Pour choisir parmi une liste de KMS clés disponibles, choisissez Choisir parmi votre AWS KMS keys, puis choisissez votre KMSclé dans la liste des clés disponibles.

        La clé Clé gérée par AWS (aws/s3) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d'informations sur les clés gérées par le client, consultez la section Clés et AWS clés client dans le Guide du AWS Key Management Service développeur.

      • Pour saisir la KMS cléARN, choisissez Entrée AWS KMS key ARN, puis entrez votre KMS clé ARN dans le champ qui apparaît.

      • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

        Pour plus d'informations sur la création d'un AWS KMS key, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

    8. Sous Clé de compartiment, choisissez Activer.

    9. Sélectionnez Save Changes (Enregistrer les modifications).

      Amazon S3 active une clé de compartiment S3 pour les nouveaux objets ajoutés à votre compartiment. Les objets existants n'utilisent pas la clé de compartiment S3. Pour configurer une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une opération CopyObject. Pour plus d’informations, consultez Configuration d'une clé de compartiment S3 au niveau d'un objet .

      Pour désactiver une clé de compartiment S3, suivez les étapes précédentes et choisissez Désactiver.

    Vous pouvez l'utiliser PutBucketEncryptionpour activer ou désactiver une clé de compartiment S3 pour votre compartiment. Pour configurer une clé de compartiment S3 avecPutBucketEncryption, utilisez le type de ServerSideEncryptionRuledonnées, qui inclut le chiffrement par défaut avec SSE -KMS. Vous pouvez également éventuellement utiliser une clé gérée par le client en spécifiant l'ID de KMS clé gérée par le client. 

    Pour plus d'informations et des exemples de syntaxe, consultez PutBucketEncryption.

    L'exemple suivant active le chiffrement du compartiment par défaut avec SSE - KMS et une clé de compartiment S3 à l'aide du AWS SDK for Java.

    Java
    AmazonS3 s3client = AmazonS3ClientBuilder.standard()
    .withRegion(Regions.DEFAULT_REGION)
    .build();
    
ServerSideEncryptionByDefault serverSideEncryptionByDefault = new ServerSideEncryptionByDefault()
    .withSSEAlgorithm(SSEAlgorithm.KMS);
ServerSideEncryptionRule rule = new ServerSideEncryptionRule()
    .withApplyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
    .withBucketKeyEnabled(true);
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration =
    new ServerSideEncryptionConfiguration().withRules(Collections.singleton(rule));

SetBucketEncryptionRequest setBucketEncryptionRequest = new SetBucketEncryptionRequest()
    .withServerSideEncryptionConfiguration(serverSideEncryptionConfiguration)
    .withBucketName(bucketName);
            
s3client.setBucketEncryption(setBucketEncryptionRequest);

    L'exemple suivant active le chiffrement du compartiment par défaut avec SSE - KMS et une clé de compartiment S3 à l'aide du AWS CLI. Remplacez user input placeholders par vos propres informations.

    aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

    Pour plus d'informations sur la configuration d'une clé de compartiment S3 avec AWS CloudFormation, voir :S3 AWS : :Bucket ServerSideEncryptionRule dans le guide de l'AWS CloudFormation utilisateur.