Configuration et surveillance du chiffrement par défaut pour les compartiments de répertoires

Le chiffrement des compartiments Amazon S3 est activé par défaut, et les nouveaux objets sont automatiquement chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (). SSE-S3 Ce chiffrement s’applique à tous les nouveaux objets de vos compartiments Amazon S3, sans frais.

Si vous avez besoin de davantage de contrôle sur vos clés de chiffrement, par exemple pour gérer la rotation des clés et l'attribution des politiques d'accès, vous pouvez choisir d'utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) keys (SSE-KMS).

Note

Nous recommandons que le chiffrement par défaut du compartiment utilise la configuration de chiffrement souhaitée et que vous ne remplaciez pas le chiffrement par défaut du compartiment dans vos demandes CreateSession ni dans vos demandes d’objets PUT. Les nouveaux objets seront ensuite automatiquement chiffrés avec les paramètres de chiffrement souhaités. Pour plus d'informations sur les comportements de remplacement du chiffrement dans les compartiments de répertoire, voir Spécifier le chiffrement côté serveur avec AWS KMS pour les téléchargements de nouveaux objets.
Pour chiffrer de nouveaux objets dans un compartiment de répertoire avec SSE-KMS, vous devez spécifier SSE-KMS comme configuration de chiffrement par défaut du compartiment d'annuaire une clé KMS (en particulier, une clé gérée par le client). Ensuite, lorsqu'une session est créée pour les opérations de l'API Zonal Endpoint, les nouveaux objets sont automatiquement chiffrés et déchiffrés avec SSE-KMS des clés de compartiment S3 pendant la session.
Lorsque vous définissez le chiffrement du compartiment par défaut sur SSE-KMS, les clés de compartiment S3 sont toujours activées pour les GET PUT opérations dans un compartiment de répertoire et ne peuvent pas être désactivées. Les clés de compartiment S3 ne sont pas prises en charge lorsque vous copiez des objets SSE-KMS chiffrés depuis des compartiments à usage général vers des compartiments de répertoire, des compartiments de répertoire vers des compartiments à usage général, ou entre des compartiments de répertoire CopyObject, par le biais de UploadPartCopyl'opération Copy Batch Operations ou des jobs. import Dans ce cas, Amazon S3 effectue un appel à AWS KMS chaque fois qu'une demande de copie est faite pour un KMS-encrypted objet. Pour plus d'informations sur la façon dont les clés de compartiment S3 réduisent les coûts de vos AWS KMS demandes, consultezRéduction des coûts liés SSE-KMS aux clés de compartiment Amazon S3.
Lorsque vous spécifiez une cléAWS KMS gérée par le client pour le chiffrement dans votre compartiment de répertoires, utilisez uniquement l’ID ou l’ARN de la clé. Le format de l’alias de la clé KMS n’est pas pris en charge.
Dual-layer le chiffrement côté serveur avec des AWS KMS clés (DSSE-KMS) et le chiffrement côté serveur avec des clés fournies par le client (SSE-C) ne sont pas pris en charge pour le chiffrement par défaut dans les compartiments de répertoire.

Pour plus d’informations sur la configuration du chiffrement par défaut, consultez Configuration du chiffrement par défaut.

Pour en savoir plus sur les autorisations nécessaires pour le chiffrement par défaut, consultez PutBucketEncryption dans la documentation de référence de l’API Amazon Simple Storage Service.

Vous pouvez configurer le chiffrement par défaut d'Amazon S3 pour un compartiment S3 à l'aide de la console Amazon S3, AWS des SDK, de l'API REST Amazon S3 et du AWS Command Line Interface (AWS CLI).

Pour configurer le chiffrement par défaut sur un compartiment Amazon S3

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.
Dans le panneau de navigation de gauche, choisissez Compartiments.
Dans la liste Compartiments, choisissez le nom du compartiment que vous souhaitez utiliser.
Choisissez l’onglet Propriétés.
Dans les paramètres de Server-side chiffrement, les compartiments d'annuaire utilisent Server-side le chiffrement à l'aide de clés gérées par Amazon S3 (SSE-S3).
Sélectionnez Enregistrer les modifications.

Ces exemples vous montrent comment configurer le chiffrement par défaut à l'aide SSE-S3 ou à l' SSE-KMS aide d'une clé de compartiment S3.

Pour plus d’informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Pour plus d'informations sur l'utilisation du AWS CLI pour configurer le chiffrement par défaut, consultez put-bucket-encryption.

Exemple— Chiffrement par défaut avec SSE-S3

Cet exemple montre comment configurer le chiffrement du compartiment par défaut avec les clés gérées par Amazon S3. Pour utiliser ces commandes, remplacez les user input placeholders par vos propres informations.


aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'

Exemple— Chiffrement par défaut à SSE-KMS l'aide d'une clé de compartiment S3

Cet exemple configure le chiffrement par défaut des compartiments à SSE-KMS l'aide d'une clé de compartiment S3. Pour utiliser ces commandes, remplacez les user input placeholders par vos propres informations.


aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilisez l'PutBucketEncryptionopération de l'API REST pour définir le chiffrement par défaut avec un type de chiffrement côté serveur à utiliser — SSE-S3, ou. SSE-KMS

Pour plus d’informations, consultez PutBucketEncryption dans la Référence d’API Amazon Simple Storage Service.

Lorsque vous utilisez AWS des SDK, vous pouvez demander à Amazon S3 de les utiliser AWS KMS keys pour le chiffrement côté serveur. Les exemples de AWS SDK suivants pour Java et .NET configurent la configuration de chiffrement par défaut pour un compartiment de répertoire avec SSE-KMS une clé de compartiment S3. Pour plus d'informations sur les autres SDK, consultez la section Exemples de code et bibliothèques du AWS Developer Center.

Important

Lorsque vous utilisez un AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé KMS de chiffrement symétrique. Amazon S3 ne prend en charge que les clés KMS à chiffrement symétrique. Pour plus d’informations sur ces clés, consultez Clés KMS de chiffrement symétriques dans le Guide du développeur AWS Key Management Service .

Java

Avec le AWS SDK for Java 2.x, vous pouvez demander à Amazon S3 d'utiliser un en AWS KMS key utilisant la applyServerSideEncryptionByDefault méthode pour spécifier la configuration de chiffrement par défaut de votre compartiment d'annuaire pour le chiffrement des données avec SSE-KMS. Vous créez une clé KMS symétrique de chiffrement et la spécifier dans la demande.



import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.PutBucketEncryptionRequest;
import software.amazon.awssdk.services.s3.model.ServerSideEncryption;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionByDefault;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionConfiguration;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionRule;

public class Main {
    public static void main(String[] args) {
        S3Client s3 = S3Client.create();
        String bucketName = "bucket-base-name--zoneid--x-s3";
        String kmsKeyId = "your-kms-customer-managed-key-id";

        // AWS managed KMS keys aren't supported. Only customer-managed keys are supported.
        ServerSideEncryptionByDefault serverSideEncryptionByDefault = ServerSideEncryptionByDefault.builder()
                .sseAlgorithm(ServerSideEncryption.AWS_KMS)
                .kmsMasterKeyID(kmsKeyId)
                .build();

        // The bucketKeyEnabled field is enforced to be true.
        ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
                .bucketKeyEnabled(true)
                .applyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
                .build();
  
        ServerSideEncryptionConfiguration serverSideEncryptionConfiguration = ServerSideEncryptionConfiguration.builder()
                .rules(rule)
                .build();

        PutBucketEncryptionRequest putRequest = PutBucketEncryptionRequest.builder()
                .bucket(bucketName)
                .serverSideEncryptionConfiguration(serverSideEncryptionConfiguration)
                .build();

        s3.putBucketEncryption(putRequest);
        
    }
}

Pour plus d'informations sur la création de clés gérées par le client, consultez la section Programmation de l' AWS KMS API dans le Guide du AWS Key Management Service développeur.

Pour obtenir des exemples de code utilisables pour charger un objet, consultez les rubriques suivantes. Pour utiliser ces exemples, vous devez mettre à jour les exemples de code et fournir des informations de chiffrement comme illustré dans le fragment de code précédent.

Pour charger un objet en une seule opération, consultez Chargement d’objets dans un compartiment de répertoires.
Pour les opérations d’API de chargement partitionné, consultez Utilisation du chargement partitionné avec les compartiments de répertoires.

.NET

Avec le AWS SDK pour .NET, vous pouvez demander à Amazon S3 d'utiliser un en AWS KMS key utilisant la ServerSideEncryptionByDefault propriété pour spécifier la configuration de chiffrement par défaut de votre compartiment d'annuaire pour le chiffrement des données SSE-KMS. Vous créez une clé symétrique de chiffrement gérée par le client et la spécifier dans la demande.



    // Set the bucket server side encryption to use AWSKMS with a customer-managed key id.
    // bucketName: Name of the directory bucket. "bucket-base-name--zonsid--x-s3"
    // kmsKeyId: The Id of the customer managed KMS Key. "your-kms-customer-managed-key-id"
    // Returns True if successful.
    public static async Task<bool> SetBucketServerSideEncryption(string bucketName, string kmsKeyId)
    {
        var serverSideEncryptionByDefault = new ServerSideEncryptionConfiguration
        {
            ServerSideEncryptionRules = new List<ServerSideEncryptionRule>
            {
                new ServerSideEncryptionRule
                {
                    ServerSideEncryptionByDefault = new ServerSideEncryptionByDefault
                    {
                        ServerSideEncryptionAlgorithm = ServerSideEncryptionMethod.AWSKMS,
                        ServerSideEncryptionKeyManagementServiceKeyId = kmsKeyId
                    }
                }
            }
        };
        try
        {
            var encryptionResponse =await _s3Client.PutBucketEncryptionAsync(new PutBucketEncryptionRequest
            {
                BucketName = bucketName,
                ServerSideEncryptionConfiguration = serverSideEncryptionByDefault,
            });
            
            return encryptionResponse.HttpStatusCode == HttpStatusCode.OK;
        }
        catch (AmazonS3Exception ex)
        {
            Console.WriteLine(ex.ErrorCode == "AccessDenied"
                ? $"This account does not have permission to set encryption on {bucketName}, please try again."
                : $"Unable to set bucket encryption for bucket {bucketName}, {ex.Message}");
        }
        return false;
    }

Pour plus d'informations sur la création de clés gérées par le client, consultez la section Programmation de l' AWS KMS API dans le Guide du AWS Key Management Service développeur.

Pour charger un objet en une seule opération, consultez Chargement d’objets dans un compartiment de répertoires.
Pour les opérations d’API de chargement partitionné, consultez Utilisation du chargement partitionné avec les compartiments de répertoires.

Surveillance du chiffrement par défaut pour les compartiments de répertoire avec AWS CloudTrail

Vous pouvez suivre les demandes de configuration de chiffrement par défaut pour les compartiments Amazon S3 à l’aide d’événements AWS CloudTrail . Les noms d'événements d'API suivants sont utilisés dans CloudTrail les journaux :

PutBucketEncryption
GetBucketEncryption
DeleteBucketEncryption

Note

EventBridge n'est pas pris en charge dans les compartiments de répertoire.
Dual-layer le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS DSSE-KMS) ou le chiffrement côté serveur avec des clés de chiffrement fournies par le client (SSE-C) ne sont pas pris en charge dans les compartiments d'annuaire.

Pour plus d’informations sur la surveillance du chiffrement par défaut avec AWS CloudTrail, consultez Surveillance du chiffrement par défaut avec AWS CloudTrail et Amazon EventBridge.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Protection et chiffrement des données

SSE-KMS dans des compartiments de répertoire