Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)
L'utilisation du chiffrement double couche côté serveur avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS) applique deux couches de chiffrement aux objets lorsqu'ils sont chargés sur Amazon S3. DSSE-KMS vous permet de satisfaire plus facilement aux normes de conformité, qui vous imposent d’appliquer un chiffrement multicouche à vos données et de contrôler entièrement vos clés de chiffrement.
Dans le DSSE-KMS, le terme « double » fait référence à deux couches indépendantes de chiffrement AES-256 appliquées à vos données :
Première couche : Vos données sont cryptées à l'aide d'une clé de chiffrement des données (DEK) unique générée par AWS KMS
Deuxième couche : les données déjà chiffrées sont chiffrées à nouveau à l'aide d'une clé de chiffrement AES-256 distincte gérée par Amazon S3
Cela diffère du SSE-KMS standard, qui n'applique qu'une seule couche de chiffrement. L'approche à double couche améliore la sécurité en garantissant que même si une couche de chiffrement était compromise, vos données resteraient protégées par la seconde couche. Cette sécurité supplémentaire s'accompagne d'une augmentation de la charge de traitement et des appels d' AWS KMS API, ce qui explique le coût plus élevé par rapport au SSE-KMS standard. Pour plus d'informations sur la tarification du DSSE-KMS, consultez les AWS KMS key concepts du guide du AWS Key Management Service développeur et AWS KMS les tarifs.
Lorsque vous utilisez le DSSE-KMS avec un compartiment Amazon S3, les AWS KMS clés doivent se trouver dans la même région que le compartiment. De même, lorsqu’un chiffrement DSSE-KMS est demandé pour l’objet, le total de contrôle S3, qui fait partie des métadonnées de l’objet, est stocké sous une forme chiffrée. Pour en savoir plus sur le total de contrôle, consultez Vérification de l’intégrité des objets dans Amazon S3.
Note
Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.
Les principales différences entre le DSSE-KMS et le SSE-KMS standard sont les suivantes :
Couches de chiffrement : le DSSE-KMS applique deux couches indépendantes de chiffrement AES-256, tandis que le SSE-KMS standard applique une couche
Sécurité : le DSSE-KMS fournit une protection améliorée contre les vulnérabilités de chiffrement potentielles
Conformité : le DSSE-KMS permet de répondre aux exigences réglementaires qui imposent le chiffrement multicouche
Performances : le DSSE-KMS présente une latence légèrement plus élevée en raison d'un traitement de chiffrement supplémentaire
Coût : le DSSE-KMS encourt des frais plus élevés en raison de l'augmentation des frais de calcul et des opérations supplémentaires AWS KMS
Nécessite un chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS)
Pour exiger un chiffrement double couche côté serveur de tous les objets contenus dans un compartiment Amazon S3 déterminé, vous pouvez utiliser une politique de compartiment. Par exemple, la politique de compartiment suivante n’autorise pas le chargement d’objet (s3:PutObject) si la demande n’inclut pas d’en-tête x-amz-server-side-encryption demandant un chiffrement côté serveur avec DSSE-KMS.
