Protection des données avec le chiffrement côté serveur - Amazon Simple Storage Service

Protection des données avec le chiffrement côté serveur

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. Le statut de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour les nouveaux chargements d’objets est disponible dans les journaux AWS CloudTrail, S3 Inventory, S3 Storage Lens, dans la console Amazon S3, et en tant qu’en-tête de réponse supplémentaire de l’API Amazon S3 dans l’AWS Command Line Interface et les kits AWS SDK. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.

Le chiffrement côté serveur est le chiffrement des données à leur destination par l’application ou le service qui les reçoit. Amazon S3 chiffre les données au niveau de l’objet lors de l’écriture des données sur les disques dans les centres de données AWS, et les déchiffre pour vous quand vous accédez aux données. Tant que vous authentifiez votre demande et que vous avez des autorisations d’accès, il n’y a aucune différence dans la manière dont vous accédez aux objets chiffrés ou déchiffrés. Par exemple, si vous partagez vos objets en utilisant une URL présignée, cette URL fonctionne de la même manière pour les objets chiffrés et déchiffrés. En outre, quand vous répertoriez les objets de votre compartiment, les opérations d’API de liste renvoient la liste de tous les objets, qu’ils soient chiffrés ou non.

Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3, et tous les nouveaux objets qui sont chargés dans un compartiment S3 sont automatiquement chiffrés au repos. Le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) est la configuration de chiffrement par défaut pour chaque compartiment dans Amazon S3. Pour utiliser un autre type de chiffrement, vous pouvez soit spécifier le type de chiffrement côté serveur à utiliser dans vos demandes S3 PUT, soit actualiser la configuration du chiffrement par défaut dans le compartiment de destination.

Si vous souhaitez spécifier un autre type de chiffrement dans vos demandes PUT, vous pouvez utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), le chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS) ou le chiffrement côté serveur avec des clés fournies par le client (SSE-C). Si vous souhaitez définir une autre configuration de chiffrement par défaut dans le compartiment de destination, vous pouvez utiliser SSE-KMS ou DSSE-KMS.

Pour plus d’informations sur la modification de la configuration du chiffrement par défaut de vos compartiments à usage général, consultez Configuration du chiffrement par défaut.

Lorsque vous remplacez la configuration du chiffrement par défaut de votre compartiment par SSE-KMS, le type de chiffrement des objets Amazon S3 existants du compartiment n’est pas modifié. Pour modifier le type de chiffrement de vos objets préexistants après avoir remplacé la configuration de chiffrement par défaut par SSE-KMS, vous pouvez utiliser Amazon S3 Batch Operations. Vous fournissez une liste d’objets à S3 Batch Operations, qui appelle l’opération d’API correspondante. Vous pouvez utiliser l’action Copie d’objets pour copier des objets existants et les réécrire dans le même compartiment en tant qu’objets chiffrés par SSE-KMS. Une tâche Batch Operations peut effectuer l’opération spécifiée sur des milliards d’objets. Pour plus d’informations, consultez Exécution d’opérations groupées sur des objets avec Batch Operations et la publication How to retroactively encrypt existing objects in Amazon S3 using S3 Inventory, Amazon Athena, and S3 Batch Operations dans le blog sur le stockage AWS.

Note

Vous ne pouvez pas appliquer simultanément différents types de chiffrement côté serveur au même objet.

Si vous devez chiffrer vos objets existants, utilisez S3 Batch Operations et S3 Inventory. Pour plus d’informations, consultez Encrypting objects with Amazon S3 Batch Operations (Chiffrement d’objets avec Amazon S3 Batch Operations) et Exécution d’opérations groupées sur des objets avec Batch Operations.

Lorsque vous stockez des données dans Amazon S3, vous avez le choix entre quatre options de chiffrement côté serveur qui s’excluent mutuellement. Votre choix dépendra de la façon dont vous décidez de gérer les clés de chiffrement et du nombre de couches de chiffrement que vous souhaitez appliquer.

Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3. L’option par défaut pour le chiffrement côté serveur est avec des clés gérées Amazon S3 (SSE-S3). Chaque objet est chiffré à l’aide d’une clé unique. Comme protection supplémentaire, SSE-S3 chiffre la clé elle-même à l’aide d’une clé racine dont il effectue une rotation régulière. SSE-S3 utilise l’un des chiffrements par bloc les plus puissants qui existent, Advanced Encryption Standard 256 bits (AES-256), pour chiffrer vos données. Pour plus d’informations, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

Chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS)

Le chiffrement côté serveur avec des AWS KMS keys (SSE-KMS) est fourni par l’intégration du service AWS KMS à Amazon S3. Avec AWS KMS, vous avez plus de contrôle sur vos clés. Par exemple, vous pouvez afficher des clés distinctes, modifier des politiques de contrôle et suivre les clés dans AWS CloudTrail. En outre, vous pouvez créer et gérer les clés gérées par le client ou utiliser les Clés gérées par AWS qui sont propres à vous-même, à votre service et à votre région. Pour plus d’informations, consultez Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS).

Chiffrement côté serveur double couche avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS)

Le chiffrement double couche côté serveur avec des AWS KMS keys (DSSE-KMS) est comparable à SSE-KM, mais DSSE-KMS applique deux couches indépendantes de chiffrement AES-256 au lieu d’une seule : d’abord une clé de chiffrement des données AWS KMS, puis une clé de chiffrement distincte gérée par Amazon S3. Sachant que les deux couches de chiffrement sont appliquées à un objet côté serveur, vous pouvez utiliser un large éventail d’outils et de Services AWS pour analyser les données S3, tout en utilisant une méthode de chiffrement capable de répondre à vos besoins de conformité en matière de chiffrement multicouche. Pour plus d’informations, consultez Utilisation du chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS).

Chiffrement côté serveur avec clés fournies par le client (SSE-C)

Dans le cadre du chiffrement côté serveur avec des clés fournies par le client (SSE-C), vous gérez les clés de chiffrement, et Amazon S3 gère le chiffrement à mesure qu’il écrit les données sur les disques et le déchiffrement au moment où vous accédez à vos objets. Pour plus d’informations, consultez Utilisation du chiffrement côté serveur avec les clés fournies par le client (SSE-C).

Note

Lorsque vous utilisez des points d’accès pour les systèmes de fichiers Amazon FSx à l’aide de points d’accès S3, vous disposez d’une option pour le chiffrement côté serveur.

Chiffrement côté serveur avec Amazon FSx (SSE-KMS)

Tous les systèmes de fichiers Amazon FSx sont configurés par défaut pour le chiffrement. Ils sont chiffrés au repos à l’aide de clés gérées à l’aide d’AWS Key Management Service. Les données sont automatiquement chiffrées et déchiffrées par le système de fichiers lors de leur écriture et de leur lecture dans ce dernier. Ces processus sont gérés de manière transparente par Amazon FSx.