Amazon S3 chiffre désormais automatiquement tous les nouveaux objets. - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon S3 chiffre désormais automatiquement tous les nouveaux objets.

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. SSE-S3, qui utilise la norme de chiffrement avancé 256 bits (AES-256), est automatiquement appliqué à tous les nouveaux compartiments et à tout compartiment S3 existant qui n'a pas déjà un chiffrement par défaut configuré. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans les AWS CloudTrail journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS Command Line Interface (AWS CLI) et les AWS SDK.

Les sections suivantes répondent aux questions concernant cette mise à jour.

Amazon S3 modifie-t-il les paramètres de chiffrement par défaut de mes compartiments existants pour lesquels le chiffrement par défaut est déjà configuré ?

Non Aucune modification n'est apportée à la configuration de chiffrement par défaut pour un compartiment existant sur lequel le chiffrement SSE-S3 ou le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS) sont déjà configurés. Pour plus d'informations sur la manière de définir le comportement de chiffrement par défaut pour les compartiments, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Pour plus d'informations sur les paramètres de chiffrement de SSE-S3 et SSE-KMS, consultez Protection des données avec le chiffrement côté serveur.

Le chiffrement par défaut est-il activé sur mes compartiments existants qui n'ont pas de chiffrement par défaut configuré ?

Oui. Amazon S3 configure désormais le chiffrement par défaut de tous les compartiments non chiffrés existants pour appliquer le chiffrement côté serveur avec les clés gérées S3 (SSE-S3) comme niveau de base du chiffrement pour les nouveaux objets chargés dans ces compartiments. Les objets qui se trouvent déjà dans un compartiment non chiffré existant ne seront pas automatiquement chiffrés.

Comment puis-je afficher l'état de chiffrement par défaut des nouveaux chargements d'objets ?

À l'heure actuelle, vous pouvez consulter l'état de chiffrement par défaut des nouveaux objets chargés dans AWS CloudTrail les journaux, S3 Inventory et S3 Storage Lens, sur la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS Command Line Interface (AWS CLI) et les AWS SDK.

  • Pour consulter vos CloudTrail événements, reportez-vous à la section Affichage CloudTrail des événements dans la CloudTrail console du Guide de AWS CloudTrail l'utilisateur. CloudTrail les journaux fournissent le suivi des API PUT et des POST requêtes adressées à Amazon S3. Lorsque le chiffrement par défaut est utilisé pour chiffrer des objets dans vos compartiments, les CloudTrail journaux PUT et les demandes d'POSTAPI incluront le champ suivant comme paire nom-valeur :. "SSEApplied":"Default_SSE_S3"

  • Pour afficher l'état de chiffrement automatique des nouveaux objets chargés dans S3 Inventory, configurez un rapport S3 Inventory pour inclure le champ de métadonnées Encryption (Chiffrement), puis consultez l'état de chiffrement de chaque nouvel objet dans le rapport. Pour plus d’informations, consultez Configuration d’Amazon S3 Inventory.

  • Pour consulter l'état de chiffrement automatique des nouveaux chargements d'objets dans S3 Storage Lens, configurez un tableau de bord S3 Storage Lens et consultez les mesures relatives à Encrypted bytes (Octets chiffrés) et Encrypted object count (Nombre d'objets chiffrés) dans la catégorie Data protection (Protection des données) du tableau de bord. Pour plus d’informations, consultez Créer un tableau de bord Amazon S3 Storage Lens et Afficher les métriques S3 Storage Lens sur les tableaux de bord.

  • Pour afficher le statut du chiffrement automatique au niveau du compartiment dans la console Amazon S3, vérifiez le chiffrement par défaut de vos compartiments Amazon S3 dans la console Amazon S3. Pour plus d’informations, consultez Configuration du chiffrement par défaut.

  • Pour afficher l'état du chiffrement automatique sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS Command Line Interface (AWS CLI) et les AWS SDK, vérifiez l'en-tête de réponse x-amz-server-side-encryption lorsque vous utilisez des API d'action sur des objets, telles que PutObjectet GetObject.

Que dois-je faire pour profiter de ce changement ?

Vous n'êtes pas tenu d'apporter des modifications à vos applications existantes. Le chiffrement par défaut étant activé pour tous vos compartiments, tous les nouveaux objets chargés sur Amazon S3 sont automatiquement chiffrés.

Puis-je désactiver le chiffrement des nouveaux objets qui sont enregistrés dans mon compartiment ?

Non. SSE-S3 est le nouveau niveau de base du chiffrement qui est appliqué à tous les nouveaux objets chargés dans votre compartiment. Vous ne pouvez plus désactiver le chiffrement pour les nouveaux chargements d'objets.

Y aura-t-il une incidence sur mes frais ?

Non. Le chiffrement par défaut avec SSE-S3 est disponible sans coût supplémentaire. Vous serez facturé pour le stockage, les requêtes et les autres fonctionnalités de S3, comme d'habitude. Pour en savoir plus sur la tarification, veuillez consulter Tarification Amazon S3.

Amazon S3 va-t-il chiffrer mes objets existants qui ne sont pas chiffrés ?

Non. À partir du 5 janvier 2023, Amazon S3 ne chiffrera automatiquement que les nouveaux chargements d'objets. Pour chiffrer des objets existants, vous pouvez utiliser les opérations par lots S3 pour créer des copies chiffrées de vos objets. Ces copies chiffrées conserveront les données et le nom de l'objet existant et seront chiffrées à l'aide des clés de chiffrement que vous spécifiez. Pour plus de détails, consultez Encrypting objects with Amazon S3 Batch Operations (Chiffrement d'objets avec les opérations par lot Amazon S3) dans le blog sur le stockage AWS .

Je n'ai pas activé le chiffrement pour mes compartiments avant cette version. Dois-je modifier la façon dont j'accède aux objets ?

Non. Le chiffrement par défaut avec SSE-S3 chiffre automatiquement vos données lorsqu'elles sont enregistrées sur Amazon S3 et les déchiffre pour vous lorsque vous y accédez. Il n'y a aucun changement dans la façon dont vous accédez aux objets qui sont automatiquement chiffrés.

Dois-je modifier la façon dont j'accède à mes objets chiffrés côté client ?

Non. Tous les objets chiffrés côté client qui sont chiffrés avant d'être chargés dans Amazon S3 arrivent sous forme d'objets texte chiffré dans Amazon S3. Ces objets seront désormais dotés d'une couche supplémentaire de chiffrement SSE-S3. Vos charges de travail qui utilisent des objets chiffrés côté client ne nécessiteront aucune modification de vos services clients ou de vos paramètres d'autorisation.

Note

HashiCorp Les utilisateurs de Terraform qui n'utilisent pas de version mise à jour du AWS fournisseur peuvent constater une dérive inattendue après avoir créé de nouveaux compartiments S3 sans configuration de chiffrement définie par le client. Pour éviter cette dérive, mettez à jour la version de votre AWS fournisseur Terraform vers l'une des versions suivantes : n'importe quelle 4.x version3.76.1, ou. 2.70.4