Surveillance du chiffrement par défaut avec AWS CloudTrail et Amazon EventBridge - Amazon Simple Storage Service

Surveillance du chiffrement par défaut avec AWS CloudTrail et Amazon EventBridge

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. Le statut de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour les nouveaux chargements d’objets est disponible dans les journaux AWS CloudTrail, S3 Inventory, S3 Storage Lens, dans la console Amazon S3, et en tant qu’en-tête de réponse supplémentaire de l’API Amazon S3 dans l’AWS Command Line Interface et les kits AWS SDK. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.

Vous pouvez suivre les demandes de configuration de chiffrement par défaut pour les compartiments Amazon S3 à l’aide d’événements AWS CloudTrail. Les noms d’événements API suivants sont utilisés dans les journaux CloudTrail :

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Vous pouvez également créer des règles EventBridge qui correspondent aux événements CloudTrail pour ces appels d’API. Pour en savoir plus sur les événements CloudTrail, consultez Activer la journalisation des objets d’un compartiment à l’aide de la console. Pour plus d’informations sur les événements EventBridge, consultez Événements des Services AWS.

Vous pouvez utiliser les journaux CloudTrail pour les actions Amazon S3 de niveau objet afin de suivre les demandes PUT et POST à Amazon S3. Vous pouvez utiliser ces actions pour vérifier si le chiffrement par défaut est utilisé pour chiffrer des objets lorsque les demandes PUT entrantes n’ont pas d’en-têtes de chiffrement.

Quand Amazon S3 chiffre un objet selon les paramètres de chiffrement par défaut, le journal inclut l’un des champs suivants comme paire nom-valeur : "SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS" ou "SSEApplied":"Default_DSSE_KMS".

Quand Amazon S3 chiffre un objet en utilisant les en-têtes de chiffrement PUT, le journal inclut l’un des champs suivants comme paire nom-valeur : "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS" ou "SSEApplied":"SSE_C".

Pour les chargements en plusieurs parties, cette information est incluse dans vos demandes d’opération d’API InitiateMultipartUpload. Pour plus d’informations sur l’utilisation de CloudTrail et CloudWatch, consultez Journalisation et surveillance dans Amazon S3.