Configuration du chiffrement par défaut

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. Le statut de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour les nouveaux chargements d’objets est disponible dans les journaux AWS CloudTrail, S3 Inventory, S3 Storage Lens, dans la console Amazon S3, et en tant qu’en-tête de réponse supplémentaire de l’API Amazon S3 dans l’AWS Command Line Interface et les kits AWS SDK. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.

Les compartiments Amazon S3 ont le chiffrement des compartiments activé par défaut et les nouveaux objets sont automatiquement chiffrés à l’aide du chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Ce chiffrement s’applique à tous les nouveaux objets de vos compartiments Amazon S3, sans frais.

Si vous avez besoin de mieux contrôler vos clés de chiffrement, notamment pour gérer la rotation des clés et l’octroi de stratégies d’accès, vous pouvez choisir d’utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou le chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS). Pour en savoir plus sur SSE-KMS, consultez Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS). Pour en savoir plus sur DSSE-KMS, consultez Utilisation du chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS).

Si vous souhaitez utiliser une clé KMS qui appartient à un autre compte, vous devez avoir l’autorisation d’utiliser la clé. Pour plus d’informations sur les autorisations intercomptes pour les clés KMS, consultez la section Creating KMS keys that other accounts can use (Création de clés KMS que d’autres comptes peuvent utiliser) dans le Guide du développeur AWS Key Management Service.

Lorsque vous définissez le chiffrement de compartiment par défaut sur SSE-KMS, vous pouvez également configurer une clé de compartiment S3 pour réduire les coûts de vos demandes AWS KMS. Pour plus d’informations, consultez Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

Note

Si vous utilisez PutBucketEncryption pour définir votre chiffrement de compartiment par défaut sur SSE-KMS, vous devez vérifier que votre ID de clé KMS est correct. Amazon S3 ne valide pas l’ID de clé KMS fourni dans les demandes PutBucketEncryption.

Il n’y a pas de frais supplémentaires relatifs à l’utilisation du chiffrement par défaut pour les compartiments S3. Les demandes de configuration du comportement de chiffrement par défaut seront facturées comme des demandes Amazon S3 standard. Pour obtenir des informations sur la tarification, consultez Tarification Amazon S3. L’utilisation de SSE-KMS et de DSSE-KMS vous expose à des frais AWS KMS, dont vous trouverez les détails dans Tarification AWS KMS.

Le chiffrement côté serveur avec des clés fournies par le client (SSE-C) n’est pas pris en charge pour le chiffrement par défaut.

Vous pouvez configurer le chiffrement par défaut Amazon S3 pour un compartiment S3 à l’aide de la console Amazon S3, des kits AWS SDK, de l’API REST Amazon S3 et de l’AWS Command Line Interface (AWS CLI).

Modifications à prendre en compte avant d’activer le chiffrement par défaut

Après avoir activé le chiffrement par défaut pour un compartiment, le comportement de chiffrement suivant s’applique :

Il n’y a pas de modification pour le chiffrement des objets qui existaient dans le compartiment avant l’activation du chiffrement par défaut.
Lorsque vous chargez des objets après l’activation du chiffrement par défaut :
- Si vos en-têtes de demandes PUT ne comportent pas d’informations de chiffrement, Amazon S3 utilise les paramètres de chiffrement par défaut du compartiment pour chiffrer les objets.
- Si vos en-têtes de demandes PUT comportent des informations de chiffrement, Amazon S3 utilise les informations de la demande PUT pour chiffrer les objets avant de les stocker dans Amazon S3.
Si vous utilisez l’option SSE-KMS ou DSSE-KMS pour votre configuration du chiffrement par défaut, vous êtes soumis aux quotas RPS (demandes par seconde) de AWS KMS. Pour plus d’informations sur les quotas de AWS KMS et sur la procédure à suivre pour demander une augmentation des quotas, consultez Quotas dans le Guide du développeur AWS Key Management Service.

Note

Les objets chargés avant l’activation du chiffrement par défaut ne seront pas chiffrés. Pour plus d’informations sur le chiffrement d’objets existants, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

Pour configurer le chiffrement par défaut sur un compartiment Amazon S3

Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.
Dans le volet de navigation de gauche, choisissez Compartiments.
Dans la liste Compartiments, choisissez le nom du compartiment que vous souhaitez utiliser.
Choisissez l’onglet Propriétés.
Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).
Pour configurer le chiffrement, sous Type de chiffrement, choisissez l’une des options suivantes :
- Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)
- Chiffrement côté serveur avec des clés AWS Key Management Service (SSE-KMS)
- Chiffrement double couche côté serveur avec des clés AWS Key Management Service (DSSE-KMS)
  
  Important
  Si vous utilisez l’option SSE-KMS ou DSSE-KMS pour votre configuration du chiffrement par défaut, vous êtes soumis aux quotas RPS (demandes par seconde) de AWS KMS. Pour plus d’informations sur les quotas de AWS KMS et sur la procédure à suivre pour demander une augmentation des quotas, consultez Quotas dans le Guide du développeur AWS Key Management Service.
Les compartiments et les nouveaux objets sont chiffrés par défaut avec SSE-S3, sauf si vous spécifiez un autre type de chiffrement par défaut pour vos compartiments. Pour plus d’informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

Pour en savoir plus sur l’utilisation du chiffrement côté serveur Amazon S3 pour chiffrer vos données, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).
Si vous avez choisi Chiffrement côté serveur avec des clés AWS Key Management Service (SSE-KMS) ou Chiffrement double couche côté serveur avec des clés AWS Key Management Service (DSSE-KMS), procédez comme suit :
1. Sous Clé AWS KMS, spécifiez votre clé KMS de l’une des manières suivantes :
  - Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos clés AWS KMS keys, puis sélectionnez votre Clé KMS dans la liste des clés disponibles.
    
    La Clé gérée par AWS (aws/s3) et la clé gérée par le client apparaissent toutes deux dans cette liste. Pour plus d’informations sur les clés gérées par le client, consultez Clés de client et clés AWS dans le Guide du développeur AWS Key Management Service.
  - Pour saisir l’ARN de la clé KMS, choisissez Saisir l’ARN de AWS KMS key, puis saisissez l’ARN de votre clé KMS dans le champ qui s’affiche.
  - Pour créer une clé gérée par le client dans la console AWS KMS, choisissez Créer une clé KMS.
    
    Pour en savoir plus sur la création d’une AWS KMS key, consultez Création de clés dans le guide du développeur AWS Key Management Service.
  Important
  Vous pouvez uniquement utiliser des clés KMS activées dans la même Région AWS que le compartiment. Lorsque vous choisissez Choisissez une clé parmi vos clés KMS, la console S3 ne répertorie que 100 clés KMS par Région. Si vous avez plus de 100 clés KMS dans la même Région, vous ne pourrez voir que les 100 premières clés KMS dans la console S3. Pour utiliser une clé KMS qui ne figure pas dans la console, choisissez Saisir l’ARN de AWS KMS key, puis saisissez l’ARN de la clé KMS.
  Lorsque vous utilisez une AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé KMS de chiffrement symétrique. Amazon S3 prend uniquement en charge que les clés KMS de chiffrement symétriques. Pour plus d’informations sur ces clés, consultez Clés KMS de chiffrement symétriques dans le Guide du développeur AWS Key Management Service.
  
  Pour plus d’informations sur l’utilisation de SSE-KMS avec Amazon S3, consultez Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS). Pour en savoir plus sur l’utilisation de DSSE-KMS, consultez Utilisation du chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS).
2. Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE-KMS, vous pouvez également activer la clé de compartiment S3. Les clés de compartiment S3 diminuent le coût du chiffrement en réduisant le trafic de demandes depuis Amazon S3 vers AWS KMS. Pour plus d’informations, consultez Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.
  
  Pour utiliser les clés de compartiment S3, sous la Clé de compartiment, choisissez Activer.
  
  Note
  Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.
Sélectionnez Save Changes.

Ces exemples montrent comment configurer le chiffrement par défaut en utilisant SSE-S3 ou SSE-KMS avec une clé de compartiment S3.

Pour plus d’informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Pour plus d’informations sur l’utilisation de la AWS CLI pour configurer le chiffrement par défaut, consultez put-bucket-cryptage.

Exemple — Chiffrement par défaut avec SSE-S3

Cet exemple montre comment configurer le chiffrement du compartiment par défaut avec les clés gérées par Amazon S3.


aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'

Exemple — Chiffrement par défaut avec SSE-KMS à l’aide d’une clé de compartiment S3

Cet exemple configure le chiffrement du compartiment par défaut avec SSE-KMS à l’aide d’une clé de compartiment S3.


aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilisez l’opération PutBucketEncryption de l’API REST pour activer le chiffrement par défaut et définir le type de chiffrement côté serveur à utiliser : SSE-S3, SSE-KMS ou DSSE-KMS.

Pour plus d’informations, veuillez consulter PutBucketEncryption dans la Référence des API Amazon Simple Storage Service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Définition du chiffrement du compartiment par défaut

Surveillance du chiffrement par défaut