Protection des données en transit grâce au chiffrement - Amazon Simple Storage Service
Support des protocoles TLS 1.2 et TLS 1.3Surveillance de l'utilisation du protocole TLSAppliquer le chiffrement pendant le transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données en transit grâce au chiffrement

Amazon S3 prend en charge les protocoles HTTP et HTTPS pour la transmission de données. Le protocole HTTP transmet les données en texte brut, tandis que le protocole HTTPS ajoute une couche de sécurité en chiffrant les données à l'aide du protocole TLS (Transport Layer Security). Le protocole TLS protège contre l'écoute, la falsification des données et les attaques. man-in-the-middle Bien que le trafic HTTP soit accepté, la plupart des implémentations utilisent le chiffrement en transit avec HTTPS et TLS pour protéger les données lors de leur transfert entre les clients et Amazon S3.

Support des protocoles TLS 1.2 et TLS 1.3

Amazon S3 prend en charge les protocoles TLS 1.2 et TLS 1.3 pour les connexions HTTPS sur tous les points de terminaison d'API pour tous. Régions AWS S3 négocie automatiquement la protection TLS la plus puissante prise en charge par votre logiciel client et le point de terminaison S3 auquel vous accédez. Les AWS outils actuels (2014 ou versions ultérieures) incluent le AWS SDKs protocole TLS 1.3 par défaut, sans qu'aucune action de votre part ne soit requise. AWS CLI Vous pouvez annuler cette négociation automatique par le biais des paramètres de configuration du client afin de spécifier une version TLS particulière si une rétrocompatibilité avec TLS 1.2 est requise. Lorsque vous utilisez TLS 1.3, vous pouvez éventuellement configurer l'échange hybride de clés post-quantiques (ML-KEM) pour envoyer des demandes résistantes aux attaques quantiques à Amazon S3. Pour de plus amples informations, veuillez consulter Configuration du protocole TLS post-quantique hybride pour votre client.

Note

Le protocole TLS 1.3 est pris en charge sur tous les points de terminaison S3, à l' AWS PrivateLink exception d'Amazon S3 et des points d'accès multirégionaux.

Surveillance de l'utilisation du protocole TLS

Vous pouvez utiliser les journaux d'accès au serveur Amazon S3 ou AWS CloudTrail pour surveiller les demandes adressées aux compartiments Amazon S3. Les deux options de journalisation enregistrent la version TLS et la suite de chiffrement utilisées dans chaque demande.

  • Journaux d'accès au serveur Amazon S3 — La journalisation des accès au serveur fournit des enregistrements détaillés des demandes adressées à un compartiment. Par exemple, les informations des journaux d’accès peuvent s’avérer utiles en cas d’audit de sécurité ou d’audit des accès. Pour de plus amples informations, veuillez consulter Format des journaux d’accès au serveur Amazon S3.

  • AWS CloudTrailAWS CloudTrailest un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service. CloudTrail capture tous les appels d'API pour Amazon S3 sous forme d'événements. Pour de plus amples informations, veuillez consulter CloudTrail Événements Amazon S3.

Appliquer le chiffrement pendant le transit

L'une des meilleures pratiques de sécurité consiste à appliquer le chiffrement des données en transit vers Amazon S3. Vous pouvez appliquer la communication HTTPS uniquement ou l'utilisation d'une version TLS spécifique par le biais de divers mécanismes de politique. Il s'agit notamment des politiques basées sur les ressources IAM pour les compartiments S3 (politiques de compartiment), des politiques de contrôle des services (), des politiques de contrôledes ressources (SCPs) et des politiques de point de RCPs terminaison VPC.

Exemples de politiques relatives aux compartiments pour appliquer le chiffrement pendant le transit

Vous pouvez utiliser la clé de condition S3 s3:TlsVersion pour restreindre l'accès aux compartiments Amazon S3 en fonction de la version TLS utilisée par le client. Pour de plus amples informations, veuillez consulter Exemple 6 : Exiger une version minimale de TLS.

Exemple politique de compartiment appliquant le protocole TLS 1.3 à l'aide de la clé de condition S3:TlsVersion
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyInsecureConnections",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket1/*"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": "1.3"
        }
      }
    }
  ]
}

Vous pouvez utiliser la clé de condition aws:SecureTransport globale figurant dans votre politique de compartiment S3 pour vérifier si la demande a été envoyée via HTTPS (TLS). Contrairement à l'exemple précédent, cette condition ne vérifie pas une version spécifique de TLS. Pour de plus amples informations, veuillez consulter Restreindre l’accès aux seules requêtes HTTPS.

Exemple politique de compartiment appliquant le protocole HTTPS à l'aide de la clé de condition aws:SecureTransport globale
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
     {
        "Sid": "RestrictToTLSRequestsOnly",		 	 	 
        "Action": "s3:*",
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1",
            "arn:aws:s3:::amzn-s3-demo-bucket1/*"
        ],
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "false"
            }
        },
        "Principal": "*"
    }
  ]
}
Exemple de politique basé à la fois sur des clés et d'autres exemples

Dans les exemples précédents, vous pouvez utiliser les deux types de clés de condition dans une seule politique. Pour plus d'informations et des approches d'application supplémentaires, consultez l'article du blog sur le AWS stockage Enforcing encryption in transit with TLS1 .2 or higher with Amazon S3.