Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)
L'utilisation du chiffrement double couche côté serveur avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS) applique deux couches de chiffrement aux objets lorsqu'ils sont chargés sur Amazon S3. DSSE-KMS vous permet de satisfaire plus facilement aux normes de conformité, qui vous imposent d’appliquer un chiffrement multicouche à vos données et de contrôler entièrement vos clés de chiffrement.
Dans DSSE-KMS, le terme « double » fait référence aux deux couches indépendantes de chiffrement AES-256 appliquées à vos données :
Première couche : Vos données sont cryptées à l'aide d'une clé de chiffrement des données (DEK) unique générée par AWS KMS
Deuxième couche : les données déjà chiffrées sont chiffrées à nouveau à l’aide d’une clé de chiffrement AES-256 distincte gérée par Amazon S3
Cette procédure diffère du chiffrement SSE-KMS standard, qui n’applique qu’une seule couche de chiffrement. La double couche améliore la sécurité en offrant la garantie que, même si une couche de chiffrement était compromise, vos données resteraient protégées par la deuxième couche. Cette sécurité supplémentaire s'accompagne d'une augmentation de la charge de traitement et des appels d' AWS KMS API, ce qui explique le coût plus élevé par rapport au SSE-KMS standard. Pour plus d'informations sur la tarification du DSSE-KMS, consultez les AWS KMS key concepts du guide du AWS Key Management Service développeur et AWS KMS les tarifs.
Lorsque vous utilisez le DSSE-KMS avec un compartiment Amazon S3, les AWS KMS clés doivent se trouver dans la même région que le compartiment. De même, lorsqu’un chiffrement DSSE-KMS est demandé pour l’objet, le total de contrôle S3, qui fait partie des métadonnées de l’objet, est stocké sous une forme chiffrée. Pour en savoir plus sur le total de contrôle, consultez Vérification de l’intégrité des objets dans Amazon S3.
Note
Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.
Les principales différences entre le chiffrement DSSE-KMS et le chiffrement SSE-KMS standard sont les suivantes :
Couches de chiffrement : le chiffrement DSSE-KMS applique deux couches indépendantes de chiffrement AES-256, tandis que le chiffrement SSE-KMS standard n’en applique qu’une
Sécurité : le chiffrement DSSE-KMS offre une protection renforcée contre les vulnérabilités potentielles du chiffrement
Conformité : le chiffrement DSSE-KMS permet de répondre aux exigences réglementaires qui imposent un chiffrement multicouche
Performances : le chiffrement DSSE-KMS présente une latence légèrement plus élevée en raison du traitement du chiffrement supplémentaire
Coût : le DSSE-KMS encourt des frais plus élevés en raison de l'augmentation des frais de calcul et des opérations supplémentaires AWS KMS
Nécessite un chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS)
Pour exiger un chiffrement double couche côté serveur de tous les objets contenus dans un compartiment Amazon S3 déterminé, vous pouvez utiliser une stratégie de compartiment. Par exemple, la stratégie de compartiment suivante n’autorise pas le chargement d’objet (s3:PutObject) si la demande n’inclut pas d’en-tête x-amz-server-side-encryption demandant un chiffrement côté serveur avec DSSE-KMS.
