Configuration du chiffrement par défaut - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du chiffrement par défaut

Important

Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail logs, S3 Inventory, S3 Storage Lens, console Amazon S3 et en tant qu'en-tête de API réponse Amazon S3 supplémentaire dans le AWS Command Line Interface and AWS SDKs. Pour plus d'informations, consultez la section Chiffrement par défaut FAQ.

Le chiffrement des compartiments Amazon S3 est activé par défaut, et les nouveaux objets sont automatiquement chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Ce chiffrement s'applique à tous les nouveaux objets de vos compartiments Amazon S3, sans frais.

Si vous avez besoin d'un contrôle accru sur vos clés de chiffrement, par exemple pour gérer la rotation des clés et l'octroi des politiques d'accès, vous pouvez choisir d'utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS), ou chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS). Pour plus d'informations sur SSE -KMS, consultezSpécification du chiffrement côté serveur avec AWS KMS (SSE-KMS). Pour plus d'informations sur DSSE -KMS, consultezUtilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS).

Si vous souhaitez utiliser une KMS clé appartenant à un autre compte, vous devez être autorisé à l'utiliser. Pour plus d'informations sur les autorisations relatives aux KMS clés entre comptes, consultez la section Création de KMS clés utilisables par d'autres comptes dans le AWS Key Management Service Guide du développeur.

Lorsque vous définissez le chiffrement du compartiment par défaut sur SSE -KMS, vous pouvez également configurer une clé de compartiment S3 pour réduire votre AWS KMS frais de demande. Pour de plus amples informations, veuillez consulter Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

Note

Si vous avez l'PutBucketEncryptionhabitude de définir le chiffrement de votre compartiment par défaut sur SSE -KMS, vous devez vérifier que votre identifiant de KMS clé est correct. Amazon S3 ne valide pas l'ID de KMS clé fourni dans les PutBucketEncryption demandes.

Il n'y a pas de frais supplémentaires relatifs à l'utilisation du chiffrement par défaut pour les compartiments S3. Les demandes de configuration du comportement de chiffrement par défaut seront facturées comme des demandes Amazon S3 standard. Pour obtenir des informations sur la tarification, consultez Tarification Amazon S3. Pour SSE - KMS et DSSE -KMS, AWS KMS des frais s'appliquent et sont indiqués sur AWS KMS tarification.

Le chiffrement côté serveur avec les clés fournies par le client (SSE-C) n'est pas pris en charge pour le chiffrement par défaut.

Vous pouvez configurer le chiffrement par défaut d'Amazon S3 pour un compartiment S3 à l'aide de la console Amazon S3, AWS SDKs, l'Amazon S3 REST API et le AWS Command Line Interface (AWS CLI).

Modifications à prendre en compte avant d'activer le chiffrement par défaut

Après avoir activé le chiffrement par défaut pour un compartiment, le comportement de chiffrement suivant s'applique :

  • Il n'y a pas de modification pour le chiffrement des objets qui existaient dans le compartiment avant l'activation du chiffrement par défaut.

  • Lorsque vous chargez des objets après l'activation du chiffrement par défaut :

    • Si vos en-têtes de demandes PUT ne comportent pas d'informations de chiffrement, Amazon S3 utilise les paramètres de chiffrement par défaut du compartiment pour chiffrer les objets.

    • Si vos en-têtes de demandes PUT comportent des informations de chiffrement, Amazon S3 utilise les informations de la demande PUT pour chiffrer les objets avant de les stocker dans Amazon S3.

  • Si vous utilisez l'KMSoption SSE - KMS ou DSSE - pour votre configuration de chiffrement par défaut, vous êtes soumis aux quotas de demandes par seconde (RPS) de AWS KMS. Pour plus d'informations sur AWS KMS les quotas et comment demander une augmentation de quota, voir Quotas dans le AWS Key Management Service Guide du développeur.

Note

Les objets chargés avant l'activation du chiffrement par défaut ne seront pas chiffrés. Pour plus d'informations sur le chiffrement d'objets existants, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

Pour configurer le chiffrement par défaut sur un compartiment Amazon S3

  1. Connectez-vous au AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Compartiments.

  3. Dans la liste Compartiments, choisissez le nom du compartiment que vous souhaitez utiliser.

  4. Choisissez l’onglet Propriétés.

  5. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

  6. Pour configurer le chiffrement, sous Type de chiffrement, choisissez l'une des options suivantes :

    • Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

    • Chiffrement côté serveur avec AWS Key Management Service clés (SSE-KMS)

    • Chiffrement double couche côté serveur avec AWS Key Management Service clés (DSSE-KMS)

      Important

      Si vous utilisez les KMS options SSE - KMS ou DSSE - pour votre configuration de chiffrement par défaut, vous êtes soumis aux quotas de demandes par seconde (RPS) de AWS KMS. Pour plus d'informations sur AWS KMS les quotas et comment demander une augmentation de quota, voir Quotas dans le AWS Key Management Service Guide du développeur.

    Les compartiments et les nouveaux objets sont chiffrés par défaut avec SSE -S3, sauf si vous spécifiez un autre type de chiffrement par défaut pour vos compartiments. Pour plus d'informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

    Pour en savoir plus sur l'utilisation du chiffrement côté serveur Amazon S3 pour chiffrer vos données, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

  7. Si vous avez choisi le chiffrement côté serveur avec AWS Key Management Service clés (SSE-KMS) ou chiffrement double couche côté serveur avec AWS Key Management Service touches (DSSE-KMS), procédez comme suit :

    1. Sous AWS KMS clé, spécifiez votre KMS clé de l'une des manières suivantes :

      • Pour choisir parmi une liste de KMS touches disponibles, choisissez Choisir parmi votre AWS KMS keys, puis choisissez votre KMSclé dans la liste des clés disponibles.

        Les deux Clé gérée par AWS (aws/s3) et vos clés gérées par le client apparaissent dans cette liste. Pour plus d'informations sur les clés gérées par le client, voir Clés client et AWS clés dans le AWS Key Management Service Guide du développeur.

      • Pour saisir la KMS cléARN, choisissez Enter AWS KMS key ARN, et entrez votre KMS clé ARN dans le champ qui apparaît.

      • Pour créer une nouvelle clé gérée par le client dans AWS KMS console, choisissez Créer une KMS clé.

        Pour plus d'informations sur la création d'un AWS KMS key, voir Création de clés dans AWS Key Management Service Guide du développeur.

      Important

      Vous ne pouvez utiliser que KMS les touches activées dans le même Région AWS comme le seau. Lorsque vous choisissez Choisir parmi vos KMS clés, la console S3 ne répertorie que 100 KMS clés par région. Si vous avez plus de 100 KMS clés dans la même région, vous ne pouvez voir que les 100 premières KMS clés dans la console S3. Pour utiliser une KMS clé qui n'est pas répertoriée dans la console, choisissez Enter AWS KMS key ARN, puis entrez la KMS cléARN.

      Lorsque vous utilisez un AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé de chiffrement symétrique. KMS Amazon S3 prend uniquement en charge les KMS clés de chiffrement symétriques. Pour plus d'informations sur ces clés, consultez la section Clés de KMSchiffrement symétriques dans le AWS Key Management Service Guide du développeur.

      Pour plus d'informations sur l'utilisation de SSE - KMS avec Amazon S3, consultezUtilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS). Pour plus d'informations sur l'utilisation de DSSE -KMS, consultezUtilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS).

    2. Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE -KMS, vous pouvez également activer une clé de compartiment S3. Les clés de compartiment S3 réduisent le coût du chiffrement en diminuant le trafic de demandes provenant d'Amazon S3 vers AWS KMS. Pour plus d'informations, consultezRéduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

      Pour utiliser les clés de compartiment S3, sous la Clé de compartiment, choisissez Activer.

      Note

      Les clés de compartiment S3 ne sont pas prises en charge pour DSSE -KMS.

  8. Sélectionnez Enregistrer les modifications.

Ces exemples vous montrent comment configurer le chiffrement par défaut en utilisant SSE -S3 ou en utilisant SSE - KMS avec une clé de compartiment S3.

Pour plus d'informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Pour plus d'informations sur l'utilisation du AWS CLI pour configurer le chiffrement par défaut, voir put-bucket-encryption.

Exemple — Chiffrement par défaut avec SSE -S3

Cet exemple montre comment configurer le chiffrement du compartiment par défaut avec les clés gérées par Amazon S3.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'
Exemple — Chiffrement par défaut avec SSE - KMS à l'aide d'une clé de compartiment S3

Cet exemple configure le chiffrement des compartiments par défaut avec SSE - à KMS l'aide d'une clé de compartiment S3. 

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilisez cette REST API PutBucketEncryption opération pour activer le chiffrement par défaut et pour définir le type de chiffrement côté serveur à utiliser : SSE -S3, - ou SSE -KMS. DSSE KMS

Pour plus d’informations, consultez .PutBucketEncryptiondans le Amazon Simple Storage Service API Reference.