Server-side chiffrement Chiffrement en transit Suppression de données

Protection et chiffrement des données

Pour plus d’informations sur la façon de configurer le chiffrement des compartiments de répertoires, consultez les rubriques suivantes.

Rubriques

Server-side chiffrement

Le chiffrement est configuré par défaut pour tous les compartiments de répertoire, et tous les nouveaux objets chargés dans des compartiments de répertoire sont automatiquement chiffrés au repos. Server-side le chiffrement avec les clés gérées par Amazon S3 (SSE-S3) est la configuration de chiffrement par défaut pour chaque compartiment de répertoire. Si vous souhaitez spécifier un autre type de chiffrement, vous pouvez utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) keys (SSE-KMS), en définissant la configuration de chiffrement par défaut du bucket. Pour plus d'informations sur SSE-KMS les buckets in directory, consultezUtilisation du chiffrement côté serveur avec AWS KMS keys (SSE-KMS) dans les compartiments de répertoire.

Nous recommandons que le chiffrement par défaut du compartiment utilise la configuration de chiffrement souhaitée et que vous ne remplaciez pas le chiffrement par défaut du compartiment dans vos demandes CreateSession ni dans vos demandes d’objets PUT. Les nouveaux objets seront ensuite automatiquement chiffrés avec les paramètres de chiffrement souhaités. Pour plus d'informations sur les comportements de remplacement du chiffrement dans les compartiments de répertoire, voir Spécifier le chiffrement côté serveur avec AWS KMS pour les téléchargements de nouveaux objets.

SSE-KMS avec des compartiments de répertoire diffère des compartiments SSE-KMS à usage général sur les points suivants.

Votre SSE-KMS configuration ne peut prendre en charge qu'une seule clé gérée par le client par compartiment de répertoire pendant toute la durée de vie du compartiment. La Clé gérée par AWS (aws/s3) n’est pas prise en charge. En outre, une fois que vous avez spécifié une clé gérée par le client pour SSE-KMS, vous ne pouvez pas remplacer la clé gérée par le client pour la SSE-KMS configuration du bucket.

Vous pouvez identifier la clé gérée par le client que vous avez spécifiée pour la SSE-KMS configuration du bucket de la manière suivante :
- Effectuez une demande d’opération d’API HeadObject pour trouver la valeur de x-amz-server-side-encryption-aws-kms-key-id dans la réponse.
Pour utiliser une nouvelle clé gérée par le client pour vos données, nous vous recommandons de copier vos objets existants dans un nouveau compartiment de répertoires avec une nouvelle clé gérée par le client.
Pour les opérations d'API du point de terminaison zonal (au niveau de l'objet), à l'exception de CopyObjectet UploadPartCopy, vous authentifiez et autorisez les demandes pour une faible latence. CreateSession Nous recommandons que le chiffrement par défaut du compartiment utilise la configuration de chiffrement souhaitée et que vous ne remplaciez pas le chiffrement par défaut du compartiment dans vos demandes CreateSession ni dans vos demandes d’objets PUT. Les nouveaux objets seront ensuite automatiquement chiffrés avec les paramètres de chiffrement souhaités. Pour chiffrer de nouveaux objets dans un compartiment de répertoire avec SSE-KMS, vous devez spécifier SSE-KMS comme configuration de chiffrement par défaut du compartiment d'annuaire une clé KMS (en particulier, une clé gérée par le client). Ensuite, lorsqu'une session est créée pour les opérations de l'API Zonal Endpoint, les nouveaux objets sont automatiquement chiffrés et déchiffrés avec SSE-KMS des clés de compartiment S3 pendant la session. Pour plus d'informations sur les comportements de remplacement du chiffrement dans les compartiments de répertoire, voir Spécifier le chiffrement côté serveur avec AWS KMS pour les téléchargements de nouveaux objets.

Dans les appels d'API du point de terminaison zonal (sauf CopyObjectet UploadPartCopy), vous ne pouvez pas remplacer les valeurs des paramètres de chiffrement (x-amz-server-side-encryption, x-amz-server-side-encryption-aws-kms-key-idx-amz-server-side-encryption-context, etx-amz-server-side-encryption-bucket-key-enabled) de la CreateSession demande. Il n’est pas nécessaire de spécifier explicitement les valeurs de ces paramètres de chiffrement dans les appels d’API de point de terminaison zonal. Amazon S3 utilisera les valeurs des paramètres de chiffrement de la demande CreateSession pour protéger les nouveaux objets dans le compartiment de répertoires.

Note
Lorsque vous utilisez le AWS CLI ou les AWS SDK, pourCreateSession, le jeton de session est automatiquement actualisé afin d'éviter les interruptions de service à l'expiration d'une session. Le AWS CLI ou les AWS SDK utilisent la configuration de chiffrement par défaut du compartiment pour la CreateSession demande. Il n’est pas possible de remplacer les valeurs des paramètres de chiffrement dans la demande CreateSession. De plus, dans les appels d'API du point de terminaison zonal (sauf CopyObjectet UploadPartCopy), il n'est pas possible de remplacer les valeurs des paramètres de chiffrement de la CreateSession demande.
En effet CopyObject, pour chiffrer de nouvelles copies d'objets dans un compartiment de répertoire avec SSE-KMS, vous devez spécifier SSE-KMS comme configuration de chiffrement par défaut du compartiment d'annuaire une clé KMS (en particulier, une clé gérée par le client). Ensuite, lorsque vous spécifiez les paramètres de chiffrement côté serveur pour les nouvelles copies d'objets SSE-KMS, vous devez vous assurer que la clé de chiffrement est la même clé gérée par le client que celle que vous avez spécifiée pour la configuration de chiffrement par défaut du compartiment de répertoire. En effet UploadPartCopy, pour chiffrer de nouvelles copies partielles d'objets dans un compartiment de répertoire avec SSE-KMS, vous devez spécifier SSE-KMS comme configuration de chiffrement par défaut du compartiment de répertoire une clé KMS (en particulier, une clé gérée par le client). Vous ne pouvez pas spécifier de paramètres de chiffrement côté serveur pour les nouvelles copies partielles d'objets figurant SSE-KMS dans les en-têtes de UploadPartCopydemande. En outre, les paramètres de chiffrement que vous fournissez dans la CreateMultipartUploaddemande doivent correspondre à la configuration de chiffrement par défaut du compartiment de destination.
Les clés de compartiment S3 sont toujours activées pour les opérations GET et PUT dans un compartiment de répertoires et ne peuvent pas être désactivées. Les clés de compartiment S3 ne sont pas prises en charge lorsque vous copiez des objets SSE-KMS chiffrés depuis des compartiments à usage général vers des compartiments de répertoire, des compartiments de répertoire vers des compartiments à usage général, ou entre des compartiments de répertoire CopyObject, par le biais de UploadPartCopyl'opération Copy Batch Operations ou des jobs. import Dans ce cas, Amazon S3 effectue un appel à AWS KMS chaque fois qu'une demande de copie est faite pour un KMS-encrypted objet.
Lorsque vous spécifiez une cléAWS KMS gérée par le client pour le chiffrement dans votre compartiment de répertoires, utilisez uniquement l’ID ou l’ARN de la clé. Le format de l’alias de la clé KMS n’est pas pris en charge.

Les compartiments d'annuaire ne prennent pas en charge le chiffrement double couche côté serveur avec des clés AWS Key Management Service (AWS KMS DSSE-KMS), ni le chiffrement côté serveur avec des clés de chiffrement fournies par le client (). SSE-C

Chiffrement en transit

Les compartiments de répertoires utilisent des points de terminaison d’API régionaux et zonaux. Selon l’opération d’API Amazon S3 que vous utilisez, un point de terminaison régional ou zonal est requis. Vous pouvez accéder aux points de terminaison zonaux et régionaux via un point de terminaison de cloud privé virtuel (VPC) de passerelle. Il n’y a pas de frais supplémentaires pour l’utilisation de points de terminaison de passerelle. Pour en savoir plus sur les points de terminaison d’API régionaux et zonaux, consultez Mise en réseau des compartiments de répertoires.

Suppression de données

Vous pouvez supprimer un ou plusieurs objets directement depuis vos compartiments de répertoire à l'aide de la console Amazon S3, AWS des SDK AWS Command Line Interface (AWS CLI) ou de l'API REST Amazon S3. Étant donné que tous les objets figurant dans les compartiments de répertoires entraînent des coûts de stockage, nous vous recommandons de supprimer les objets dont vous n’avez plus besoin.

La suppression d’un objet stocké dans un compartiment de répertoires supprime également de manière récursive tous les répertoires parents, si ces répertoires parents ne contiennent aucun objet autre que l’objet en cours de suppression.

Note

Multi-factor la suppression par authentification (MFA) et le versionnement S3 ne sont pas pris en charge pour S3 Express One Zone.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sécurité des compartiments de répertoires

Configuration et surveillance du chiffrement par défaut d’un compartiment