Configuration du chiffrement par défaut - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du chiffrement par défaut

Important

Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de API réponse Amazon S3 supplémentaire dans le AWS Command Line Interface et AWS SDKs. Pour plus d'informations, consultez la section Chiffrement par défaut FAQ.

Le chiffrement des compartiments Amazon S3 est activé par défaut, et les nouveaux objets sont automatiquement chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Ce chiffrement s'applique à tous les nouveaux objets de vos compartiments Amazon S3, sans frais.

Si vous avez besoin d'un contrôle accru sur vos clés de chiffrement, par exemple pour gérer la rotation des clés et l'attribution des politiques d'accès, vous pouvez choisir d'utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou le chiffrement côté serveur à double couche avec AWS KMS des clés (-). DSSE KMS Pour plus d'informations sur SSE -KMS, consultezSpécification du chiffrement côté serveur avec AWS KMS (SSE-) KMS. Pour plus d'informations sur DSSE -KMS, consultezUtilisation d'un chiffrement double couche côté serveur avec des AWS KMS clés (-) DSSE KMS.

Si vous souhaitez utiliser une KMS clé appartenant à un autre compte, vous devez être autorisé à l'utiliser. Pour plus d'informations sur les autorisations entre comptes pour les KMS clés, consultez la section Création de KMS clés utilisables par d'autres comptes dans le guide du AWS Key Management Service développeur.

Lorsque vous définissez le chiffrement du compartiment par défaut sur SSE -KMS, vous pouvez également configurer une clé de compartiment S3 afin de réduire le coût de vos AWS KMS demandes. Pour de plus amples informations, veuillez consulter Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

Note

Si vous avez l'PutBucketEncryptionhabitude de définir le chiffrement de votre compartiment par défaut sur SSE -KMS, vous devez vérifier que votre identifiant de KMS clé est correct. Amazon S3 ne valide pas l'ID de KMS clé fourni dans les PutBucketEncryption demandes.

Il n'y a pas de frais supplémentaires relatifs à l'utilisation du chiffrement par défaut pour les compartiments S3. Les demandes de configuration du comportement de chiffrement par défaut seront facturées comme des demandes Amazon S3 standard. Pour obtenir des informations sur la tarification, consultez Tarification Amazon S3. Pour SSE - KMS et DSSE -KMS, AWS KMS des frais s'appliquent et sont indiqués dans le AWS KMS prix.

Le chiffrement côté serveur avec les clés fournies par le client (SSE-C) n'est pas pris en charge pour le chiffrement par défaut.

Vous pouvez configurer le chiffrement par défaut d'Amazon S3 pour un compartiment S3 à l'aide de la console Amazon S3 AWS SDKs, de l'Amazon S3 REST API et du AWS Command Line Interface (AWS CLI).

Modifications à prendre en compte avant d'activer le chiffrement par défaut

Après avoir activé le chiffrement par défaut pour un compartiment, le comportement de chiffrement suivant s'applique :

  • Il n'y a pas de modification pour le chiffrement des objets qui existaient dans le compartiment avant l'activation du chiffrement par défaut.

  • Lorsque vous chargez des objets après l'activation du chiffrement par défaut :

    • Si vos en-têtes de demandes PUT ne comportent pas d'informations de chiffrement, Amazon S3 utilise les paramètres de chiffrement par défaut du compartiment pour chiffrer les objets.

    • Si vos en-têtes de demandes PUT comportent des informations de chiffrement, Amazon S3 utilise les informations de la demande PUT pour chiffrer les objets avant de les stocker dans Amazon S3.

  • Si vous utilisez l'KMSoption SSE - KMS ou DSSE - pour votre configuration de chiffrement par défaut, vous êtes soumis aux quotas de demandes par seconde (RPS) de AWS KMS. Pour plus d'informations sur les quotas de AWS KMS et sur la procédure à suivre pour demander une augmentation des quotas, consultez Quotas dans le Guide du développeur AWS Key Management Service .

Note

Les objets chargés avant l'activation du chiffrement par défaut ne seront pas chiffrés. Pour plus d'informations sur le chiffrement d'objets existants, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

Pour configurer le chiffrement par défaut sur un compartiment Amazon S3

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Compartiments.

  3. Dans la liste Compartiments, choisissez le nom du compartiment que vous souhaitez utiliser.

  4. Choisissez l’onglet Propriétés.

  5. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

  6. Pour configurer le chiffrement, sous Type de chiffrement, choisissez l'une des options suivantes :

    • Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

    • Chiffrement côté serveur à l'aide de AWS Key Management Service clés (SSE-) KMS

    • Chiffrement double couche côté serveur avec AWS Key Management Service clés (-) DSSE KMS

      Important

      Si vous utilisez les KMS options SSE - KMS ou DSSE - pour votre configuration de chiffrement par défaut, vous êtes soumis aux quotas de demandes par seconde (RPS) de AWS KMS. Pour plus d'informations sur les AWS KMS quotas et sur la manière de demander une augmentation de quota, consultez la section Quotas dans le guide du AWS Key Management Service développeur.

    Les compartiments et les nouveaux objets sont chiffrés par défaut avec SSE -S3, sauf si vous spécifiez un autre type de chiffrement par défaut pour vos compartiments. Pour plus d'informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

    Pour en savoir plus sur l'utilisation du chiffrement côté serveur Amazon S3 pour chiffrer vos données, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

  7. Si vous avez choisi le chiffrement côté serveur avec AWS Key Management Service clés (SSE-KMS) ou le chiffrement côté serveur double couche avec AWS Key Management Service clés (DSSE-KMS), procédez comme suit :

    1. Sous AWS KMS clé, spécifiez votre KMS clé de l'une des manières suivantes :

      • Pour choisir parmi une liste de KMS clés disponibles, choisissez Choisir parmi vos AWS KMS keys, puis choisissez votre KMSclé dans la liste des clés disponibles.

        La clé Clé gérée par AWS (aws/s3) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d'informations sur les clés gérées par le client, consultez la section Clés et AWS clés client dans le Guide du AWS Key Management Service développeur.

      • Pour saisir la KMS cléARN, choisissez Entrée AWS KMS key ARN, puis entrez votre KMS clé ARN dans le champ qui apparaît.

      • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

        Pour plus d'informations sur la création d'un AWS KMS key, consultez la section Création de clés dans le Guide du AWS Key Management Service développeur.

      Important

      Vous ne pouvez utiliser que KMS les clés activées au même endroit Région AWS que le compartiment. Lorsque vous choisissez Choisir parmi vos KMS clés, la console S3 ne répertorie que 100 KMS clés par région. Si vous avez plus de 100 KMS clés dans la même région, vous ne pouvez voir que les 100 premières KMS clés dans la console S3. Pour utiliser une KMS clé qui n'est pas répertoriée dans la console, choisissez Entrée AWS KMS key ARN, puis entrez la KMS cléARN.

      Lorsque vous utilisez un AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé de chiffrement symétrique. KMS Amazon S3 ne prend en charge que les KMS clés de chiffrement symétriques. Pour plus d'informations sur ces clés, consultez la section KMSClés de chiffrement symétriques dans le manuel du AWS Key Management Service développeur.

      Pour plus d'informations sur l'utilisation de SSE - KMS avec Amazon S3, consultezUtilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-) KMS. Pour plus d'informations sur l'utilisation de DSSE -KMS, consultezUtilisation d'un chiffrement double couche côté serveur avec des AWS KMS clés (-) DSSE KMS.

    2. Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE -KMS, vous pouvez également activer une clé de compartiment S3. Les clés de compartiment S3 réduisent le coût du chiffrement en diminuant le trafic de demandes d'Amazon S3 vers AWS KMS. Pour de plus amples informations, veuillez consulter Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

      Pour utiliser les clés de compartiment S3, sous la Clé de compartiment, choisissez Activer.

      Note

      Les clés de compartiment S3 ne sont pas prises en charge pour DSSE -KMS.

  8. Sélectionnez Enregistrer les modifications.

Ces exemples vous montrent comment configurer le chiffrement par défaut en utilisant SSE -S3 ou en utilisant SSE - KMS avec une clé de compartiment S3.

Pour plus d'informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Pour plus d'informations sur l'utilisation du AWS CLI pour configurer le chiffrement par défaut, consultez put-bucket-encryption.

Exemple — Chiffrement par défaut avec SSE -S3

Cet exemple montre comment configurer le chiffrement du compartiment par défaut avec les clés gérées par Amazon S3.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'
Exemple — Chiffrement par défaut avec SSE - KMS à l'aide d'une clé de compartiment S3

Cet exemple configure le chiffrement des compartiments par défaut avec SSE - à KMS l'aide d'une clé de compartiment S3. 

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilisez cette REST API PutBucketEncryption opération pour activer le chiffrement par défaut et pour définir le type de chiffrement côté serveur à utiliser : SSE -S3, - ou SSE -KMS. DSSE KMS

Pour plus d’informations, consultez .PutBucketEncryptiondans le Amazon Simple Storage Service API Reference.