Configuration de votre compartiment de sorte qu’il utilise une clé de compartiment S3 avec SSE-KMS pour de nouveaux objets - Amazon Simple Storage Service

Configuration de votre compartiment de sorte qu’il utilise une clé de compartiment S3 avec SSE-KMS pour de nouveaux objets

Lorsque vous configurez le chiffrement côté serveur à l’aide d’AWS Key Management Service (AWS KMS) (SSE-KMS), vous pouvez configurer votre compartiment de sorte qu’il utilise une clé de compartiment S3 pour SSE-KMS sur de nouveaux objets. Les clés de compartiment S3 réduisent le trafic des demandes d’Amazon S3 à AWS KMS et réduisent le coût de SSE-KMS. Pour plus d’informations, consultez Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

Vous pouvez configurer votre compartiment de sorte qu’il utilise une clé de compartiment S3 pour SSE-KMS sur de nouveaux objets à l’aide de la console Amazon S3, de l’API REST, des kits AWS SDK, de l’AWS Command Line Interface (AWS CLI) ou d’CloudFormation. Si vous souhaitez activer ou désactiver une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une opération CopyObject. Pour plus d’informations, consultez Configuration d’une clé de compartiment S3 au niveau d’un objet et Utilisation de Batch Operations pour activer les clés de compartiment S3 pour SSE-KMS.

Lorsqu’une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement est l’Amazon Resource Name (ARN) du compartiment source et non l’ARN de l’objet, par exemple, arn:aws:s3:::bucket_ARN. Vous devez mettre à jour vos politiques IAM pour utiliser l’ARN du compartiment comme contexte de chiffrement. Pour plus d’informations, consultez Clés de compartiment S3 et réplication.

Les exemples suivants illustrent le fonctionnement d’une clé de compartiment S3 avec la réplication. Pour plus d’informations, consultez Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)

Prérequis

Avant de configurer votre compartiment de sorte qu’il utilise une clé de compartiment S3, consultez Modifications à prendre en compte avant d’activer une clé de compartiment S3.

Rubriques

    Dans la console S3, vous pouvez activer ou désactiver une clé de compartiment S3 pour un nouveau compartiment ou un compartiment existant. Les objets de la console S3 conservent le paramètre de clé de compartiment S3 présent dans la configuration du compartiment. Lorsque vous activez une clé de compartiment S3 pour votre compartiment, les nouveaux objets que vous chargez dans le compartiment utilisent une clé de compartiment S3 pour SSE-KMS.

    Chargement, copie ou modification d’objets dans des compartiments pour lesquels une clé de compartiment S3 est activée

    Si vous chargez, modifiez ou copiez un objet dans un compartiment pour lequel une clé de compartiment S3 est activée, les paramètres de clé de compartiment S3 de cet objet peuvent être mis à jour pour les aligner sur la configuration du compartiment.

    Si une clé de compartiment S3 est déjà activée pour un objet, les paramètres de clé de compartiment S3 de cet objet ne changent pas lorsque vous copiez ou modifiez l’objet. Toutefois, si vous modifiez ou copiez un objet pour lequel aucune clé de compartiment S3 n’est activée et que le compartiment de destination a une configuration de clé de compartiment S3, l’objet conserve les paramètres de clé de compartiment S3 du compartiment de destination. Par exemple, si aucune clé de compartiment S3 n’est activée pour votre objet source, mais que la clé de compartiment S3 est activée pour le compartiment de destination, une clé de compartiment S3 est activée pour l’objet.

    Pour activer une clé de compartiment S3 lorsque vous créez un nouveau compartiment

    1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.

    2. Dans le volet de navigation de gauche, choisissez Compartiments.

    3. Choisissez Créer un compartiment.

    4. Entrez le nom de votre compartiment, puis choisissez votre Région AWS.

    5. Sous Chiffrement par défaut, pour Type de clé de chiffrement, choisissez Clé AWS Key Management Service (SSE-KMS).

    6. Sous Clé AWS KMS, choisissez votre clé KMS avec l’une des options suivantes :

      • Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos AWS KMS keys, puis sélectionnez votre Clé KMS dans la liste des clés disponibles.

        La Clé gérée par AWS (aws/s3) et la clé gérée par le client apparaissent toutes deux dans cette liste. Pour plus d’informations sur les clés gérées par le client, consultez Clés de client et clés AWS dans le Guide du développeur AWS Key Management Service.

      • Pour saisir l’ARN de la clé KMS, choisissez Saisir l’ARN de AWS KMS key, puis saisissez l’ARN de votre clé KMS dans le champ qui s’affiche.

      • Pour créer une clé gérée par le client dans la console AWS KMS, choisissez Créer une clé KMS.

        Pour en savoir plus sur la création d’une clé AWS KMS key, consultez la section Création de clés dans le guide du développeur AWS Key Management Service.

    7. Sous Clé de compartiment, choisissez Activer.

    8. Choisissez Créer un compartiment.

      Amazon S3 crée votre compartiment avec une clé de compartiment S3 activée. Les nouveaux objets que vous chargez dans le compartiment utiliseront une clé de compartiment S3. 

      Pour désactiver une clé de compartiment S3, suivez les étapes précédentes et choisissez Désactiver.

    Pour activer une clé de compartiment S3 pour un compartiment existant

    1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

    2. Dans le volet de navigation de gauche, choisissez Compartiments.

    3. Dans la liste Compartiments, choisissez le compartiment pour lequel vous souhaitez activer une clé de compartiment S3.

    4. Choisissez l’onglet Propriétés.

    5. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

    6. Sous Chiffrement par défaut, pour Type de clé de chiffrement, choisissez Clé AWS Key Management Service (SSE-KMS).

    7. Sous Clé AWS KMS, choisissez votre clé KMS avec l’une des options suivantes :

      • Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos AWS KMS keys, puis sélectionnez votre Clé KMS dans la liste des clés disponibles.

        La Clé gérée par AWS (aws/s3) et la clé gérée par le client apparaissent toutes deux dans cette liste. Pour plus d’informations sur les clés gérées par le client, consultez Clés de client et clés AWS dans le Guide du développeur AWS Key Management Service.

      • Pour saisir l’ARN de la clé KMS, choisissez Saisir l’ARN de AWS KMS key, puis saisissez l’ARN de votre clé KMS dans le champ qui s’affiche.

      • Pour créer une clé gérée par le client dans la console AWS KMS, choisissez Créer une clé KMS.

        Pour en savoir plus sur la création d’une clé AWS KMS key, consultez la section Création de clés dans le guide du développeur AWS Key Management Service.

    8. Sous Clé de compartiment, choisissez Activer.

    9. Sélectionnez Save Changes.

      Amazon S3 active une clé de compartiment S3 pour les nouveaux objets ajoutés à votre compartiment. Les objets existants n’utilisent pas la clé de compartiment S3. Pour configurer une clé de compartiment S3 pour des objets existants, vous pouvez utiliser une opération CopyObject. Pour plus d’informations, consultez Configuration d’une clé de compartiment S3 au niveau d’un objet.

      Pour désactiver une clé de compartiment S3, suivez les étapes précédentes et choisissez Désactiver.

    Vous pouvez utiliser PutBucketEncryption pour activer ou désactiver une clé de compartiment S3 pour votre compartiment. Pour configurer une clé de compartiment S3 avec PutBucketEncryption, spécifiez le type de données ServerSideEncryptionRule, qui inclut un chiffrement par défaut avec SSE-KMS. Vous pouvez également utiliser une clé gérée par le client en indiquant l’ID de clé KMS de la clé gérée par le client. 

    Pour plus d’informations et obtenir un exemple de syntaxe, consultez PutBucketEncryption.

    L’exemple suivant active le chiffrement du compartiment par défaut avec SSE-KMS et une clé de compartiment S3 à l’aide d’AWS SDK pour Java.

    Java
    AmazonS3 s3client = AmazonS3ClientBuilder.standard()
    .withRegion(Regions.DEFAULT_REGION)
    .build();
    
ServerSideEncryptionByDefault serverSideEncryptionByDefault = new ServerSideEncryptionByDefault()
    .withSSEAlgorithm(SSEAlgorithm.KMS);
ServerSideEncryptionRule rule = new ServerSideEncryptionRule()
    .withApplyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
    .withBucketKeyEnabled(true);
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration =
    new ServerSideEncryptionConfiguration().withRules(Collections.singleton(rule));

SetBucketEncryptionRequest setBucketEncryptionRequest = new SetBucketEncryptionRequest()
    .withServerSideEncryptionConfiguration(serverSideEncryptionConfiguration)
    .withBucketName(bucketName);
            
s3client.setBucketEncryption(setBucketEncryptionRequest);

    L’exemple suivant active le chiffrement du compartiment par défaut avec SSE-KMS et une clé de compartiment S3 à l’aide d’AWS CLI. Remplacez user input placeholders par vos propres informations.

    aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

    Pour plus d’informations sur la configuration d’une clé de compartiment S3 avec CloudFormation, consultez AWS::S3::Bucket ServerSideEncryptionRule dans le Guide de l’utilisateur AWS CloudFormation.