Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement
S3 Files fournit des fonctionnalités de chiffrement complètes pour protéger vos données au repos et en transit.
Chiffrement au repos
Votre compartiment S3 est chiffré à l'aide des mécanismes de chiffrement d'Amazon S3. Pour plus d'informations sur le chiffrement des données dans S3, consultez la section Protection des données par chiffrement.
S3 Files chiffre les données au repos dans le système de fichiers S3 à l'aide du chiffrement côté serveur. Le chiffrement côté serveur est le chiffrement des données à leur destination par l’application ou le service qui les reçoit. Dans les systèmes de fichiers S3, les données et les métadonnées sont chiffrées par défaut avant d'être enregistrées dans le stockage et sont automatiquement déchiffrées lors de leur lecture. Ces processus sont gérés de manière transparente par S3 Files, vous n'avez donc pas besoin de modifier vos applications. Toutes les données inactives du système de fichiers sont chiffrées à l'aide des AWS clés du service de gestion des clés (KMS) selon l'une des méthodes suivantes :
(Par défaut) Chiffrement côté serveur avec clés KMS AWS détenues (SSE-KMS)
Chiffrement côté serveur avec clés KMS gérées par le client (SSE-KMS-CMK)
L'utilisation des clés AWS KMS entraîne des frais supplémentaires. Pour plus d'informations, consultez les concepts clés du AWS KMS dans le guide du développeur du service de gestion des AWS clés et la tarification du AWS KMS
Chiffrement côté serveur avec clés KMS AWS détenues (SSE-KMS)
Il s'agit de la clé par défaut pour chiffrer les données au repos dans votre système de fichiers S3. AWS les clés détenues sont un ensemble de clés KMS qu'un AWS service possède et gère. S3 Files possède et gère le chiffrement de vos données et métadonnées au repos dans votre système de fichiers S3 lorsque vous utilisez une clé AWS détenue. Pour plus de détails sur les clés AWS détenues, consultez la page AWS KMS Keys.
Chiffrement côté serveur avec des clés AWS KMS gérées par le client (SSE-KMS-CMK)
Lors de la création de votre système de fichiers, vous pouvez choisir de configurer une AWS clé du service de gestion des clés (AWS KMS) que vous gérez. Lorsque vous utilisez le chiffrement SSE-KMS avec un système de fichiers S3, les clés AWS KMS doivent se trouver dans la même région que le système de fichiers.
Politiques clés de S3 Files pour AWS KMS
Les stratégies de clé constituent le principal moyen de contrôler l’accès aux clés gérées par le client. Pour plus d'informations sur les politiques clés, consultez la section Politiques clés dans AWS KMS dans le Guide du développeur du service de gestion des AWS clés. La liste suivante décrit toutes les autorisations AWS liées à KMS prises en charge par S3 Files pour le chiffrement des systèmes de fichiers au repos :
- kms:Encrypt
(Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
- kms:Decrypt
(Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
- km : ReEncrypt
(Facultatif) Chiffre les données côté serveur avec une nouvelle clé gérée par le client, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.
- km : GenerateDataKeyWithoutPlaintext
(Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé gérée par le client. Cette autorisation est incluse dans la politique clé par défaut sous kms: GenerateDataKey *.
- km : CreateGrant
(Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d'informations sur les subventions, consultez la section Subventions dans AWS KMS dans le Guide du développeur du service de gestion des AWS clés. Cette autorisation est incluse dans la stratégie de clé par défaut.
- km : DescribeKey
(Obligatoire) Fournit des informations détaillées sur la clé gérée par le client spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.
- km : ListAliases
(Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation renseigne la liste Sélectionner une clé principale KMS. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.
Les états clés et leurs effets
L'état de votre clé KMS affecte directement l'accès à votre système de fichiers chiffré :
- Activé
Fonctionnement normal : accès complet en lecture et en écriture au système de fichiers.
- Désactivé
Le système de fichiers devient inaccessible après un certain temps. Peut être réactivé.
- Suppression en attente
Le système de fichiers devient inaccessible. La suppression peut être annulée pendant la période d'attente. Notez qu'après avoir annulé la suppression de la clé, celle-ci doit être déplacée vers l'état activé.
- Supprimé
Le système de fichiers est définitivement inaccessible. Cette action ne peut pas être annulée.
Avertissement
Si vous désactivez ou supprimez la clé KMS utilisée pour votre système de fichiers, ou si vous révoquez l'accès de S3 Files à la clé, votre système de fichiers deviendra inaccessible. Cela peut entraîner une perte de données si vous ne disposez pas de sauvegardes. Assurez-vous toujours d'avoir mis en place des procédures de sauvegarde appropriées avant de modifier les clés de chiffrement.
Chiffrement en transit
Les fichiers S3 nécessitent le chiffrement des données en transit à l'aide du protocole TLS (Transport Layer Security). Lorsque vous montez votre système de fichiers à l'aide de l'assistant de montage, toutes les données transitant entre votre client et le système de fichiers sont cryptées à l'aide du protocole TLS. L'assistant de montage initialise le processus efs-proxy pour établir une connexion TLS sécurisée avec votre système de fichiers. L'assistant de montage crée également un processus appelé amazon-efs-mount-watchdog qui surveille l'état des montages et qui est lancé automatiquement lors du premier montage d'un système de fichiers S3. Il garantit que le processus efs-proxy de chaque montage est en cours d'exécution et arrête le processus lorsque le système de fichiers est démonté. Si, pour une raison quelconque, le processus est arrêté de façon inattendue, le processus de surveillance le redémarre.
Ce qui suit décrit le fonctionnement du chiffrement TLS en transit :
Une connexion TLS sécurisée est établie entre votre client et le système de fichiers
Tout le trafic NFS est acheminé via cette connexion cryptée
Les données sont cryptées avant leur transmission et déchiffrées à leur réception
Le chiffrement des données en transit modifie la configuration de votre client NFS. Lorsque vous examinez vos systèmes de fichiers montés, vous en voyez un monté sur 127.0.0.1, ou localhost, comme dans l'exemple suivant :
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/s3files type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Vous montez votre système de fichiers à l'aide de l'assistant de montage, qui chiffre toujours les données en transit à l'aide du protocole TLS. Par conséquent, lors du montage, votre client NFS est reconfiguré pour être monté sur un port local.
