Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Chiffrement des packages de déploiement Lambda au format .zip
<a name="encrypt-zip-package"></a>

Lambda fournit toujours le chiffrement côté serveur au repos pour les packages de déploiement .zip et les détails de configuration des fonctions avec une AWS KMS key. Par défaut, Lambda utilise une [Clé détenue par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Si ce comportement par défaut convient à votre flux de travail, vous n'avez rien d'autre à configurer. AWS l'utilisation de cette clé ne vous est pas facturée.

Si vous préférez, vous pouvez plutôt fournir une clé gérée par le AWS KMS client. Vous pouvez procéder ainsi pour contrôler la rotation de la clé KMS ou pour répondre aux exigences de votre organisation en matière de gestion des clés KMS. Lorsque vous utilisez une clé gérée par le client, seuls les utilisateurs de votre compte ayant accès à la clé KMS peuvent visualiser ou gérer le code ou la configuration de la fonction.

Les clés gérées par le client entraînent des AWS KMS frais standard. Pour en savoir plus, consultez [Pricing AWS Key Management Service](https://aws.amazon.com/kms/pricing/) (Tarification).

## Création d’une clé gérée par le client
<a name="create-key"></a>

 Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console, ou le AWS KMS APIs.

**Pour créer une clé symétrique gérée par le client**

Suivez les étapes de la rubrique [Create a symmetric encryption KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *Guide du développeur AWS Key Management Service *.

### Permissions
<a name="enable-zip-permissions"></a>

**Stratégie de clé**

Les [stratégies de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Pour plus d’informations, consultez [How to change a key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to) dans le *Guide du développeur AWS Key Management Service *.

Lorsque vous utilisez une clé gérée par le client pour chiffrer un package de déploiement .zip, Lambda n’ajoute aucun [octroi](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) à la clé. Au lieu de cela, votre politique AWS KMS clé doit autoriser Lambda à appeler les opérations d' AWS KMS API suivantes en votre nom :
+ [km : GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)

L'exemple de politique de clé suivant permet à toutes les fonctions Lambda du compte 111122223333 d'appeler les AWS KMS opérations requises pour la clé gérée par le client spécifiée :

**Example AWS KMS politique clé**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                "kms:EncryptionContext:aws:lambda:FunctionArn": "arn:aws:lambda:us-east-1:111122223333:function:*"
                }
            }
        }
    ]
}
```

Pour plus d'informations sur le [dépannage des clés d’accès](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), consultez le *Guide du développeur AWS Key Management Service *.

**Autorisations de principal**

Lorsque vous utilisez une clé gérée par le client pour chiffrer un package de déploiement .zip, seuls les [principaux](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html) ayant accès à cette clé peuvent accéder au package de déploiement .zip. Par exemple, les principaux qui n'ont pas accès à la clé gérée par le client ne peuvent pas télécharger le package .zip à l'aide de l'URL S3 présignée incluse dans la réponse. [GetFunction](https://docs.aws.amazon.com/lambda/latest/api/API_GetFunction.html) Une `AccessDeniedException` est renvoyée dans la section `Code` de la réponse.

**Example AWS KMS AccessDeniedException**  

```
{
    "Code": {
        "RepositoryType": "S3",
        "Error": {
            "ErrorCode": "AccessDeniedException",
            "Message": "KMS access is denied. Check your KMS permissions. KMS Exception: AccessDeniedException KMS Message: User: arn:aws:sts::111122223333:assumed-role/LambdaTestRole/session is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:us-east-1:111122223333:key/key-id with an explicit deny in a resource-based policy"
        },
        "SourceKMSKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key-id"
    },
	...
```

Pour plus d'informations sur les autorisations relatives aux AWS KMS clés, consultez [Authentification et contrôle d'accès pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html).

## Utilisation d’une clé gérée par le client pour votre package de déploiement .zip
<a name="enable-zip-custom-encryption"></a>

Utilisez les paramètres d’API suivants pour configurer les clés gérées par le client pour les packages de déploiement .zip :
+ [Source KMSKey Arn](https://docs.aws.amazon.com/lambda/latest/api/API_FunctionCode.html#lambda-Type-FunctionCode-SourceKMSKeyArn) : chiffre le package de déploiement .zip source (le fichier que vous chargez).
+ [KMSKeyArn](https://docs.aws.amazon.com/lambda/latest/api/API_CreateFunction.html#lambda-CreateFunction-request-KMSKeyArn) : chiffre les [variables d'environnement et les instantanés SnapStart](configuration-envvars-encryption.md) [Lambda](snapstart.md).

Lorsque `SourceKMSKeyArn` et `KMSKeyArn` sont tous deux spécifiés, Lambda utilise la clé `KMSKeyArn` pour chiffrer la version décompressée du package que Lambda utilise pour invoquer la fonction. Lorsque `SourceKMSKeyArn` est spécifié mais que `KMSKeyArn` ne l’est pas, Lambda utilise une [Clé gérée par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)pour chiffrer la version décompressée du package.

------
#### [ Lambda console ]

**Pour ajouter le chiffrement par clé gérée par le client lors de la création d’une fonction**

1. Ouvrez la [page Functions](https://console.aws.amazon.com/lambda/home#/functions) (Fonctions) de la console Lambda.

1. Choisissez **Créer une fonction**.

1. Choisissez **Author from scratch** (Créer à partir de zéro) ou **Container image** (Image de conteneur). 

1. Sous **Basic information** (Informations de base), procédez comme suit :

   1. Pour **Function name (Nom de la fonction)**, saisissez le nom de la fonction.

   1. Pour **Runtime**, sélectionnez la version du langage à utiliser pour votre fonction.

1. Développez **les paramètres avancés**, puis sélectionnez **Activer le chiffrement avec une clé gérée par AWS KMS le client**.

1. Choisissez une clé gérée par le client.

1. Choisissez **Créer une fonction**.

Pour supprimer le chiffrement par clé gérée par le client ou pour utiliser une autre clé, vous devez télécharger à nouveau le package de déploiement .zip.

**Pour ajouter le chiffrement par clé gérée par le client à une fonction existante**

1. Ouvrez la [page Functions](https://console.aws.amazon.com/lambda/home#/functions) (Fonctions) de la console Lambda.

1. Choisissez le nom d’une fonction.

1. Dans le volet **Source du code**, choisissez **Charger à partir de**.

1. Choisissez un **fichier .zip** ou un **emplacement Amazon S3**.  
![\[\]](http://docs.aws.amazon.com/fr_fr/lambda/latest/dg/images/upload-zip.png)

1. Importez le fichier ou saisissez l’emplacement Amazon S3.

1. Choisissez **Activer le chiffrement avec une clé gérée par le AWS KMS client**.

1. Choisissez une clé gérée par le client.

1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Pour ajouter un chiffrement par clé gérée par le client lors de la création d’une fonction**

Dans l’exemple [create-function](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/create-function.html) suivant :
+ `--code`: Spécifie le chemin local vers le package de déploiement .zip (`ZipFile`) et la clé gérée par le client pour le chiffrer ()`SourceKMSKeyArn`.
+ `--kms-key-arn` : spécifie la clé gérée par le client pour chiffrer les variables d’environnement et la version décompressée du package de déploiement.

```
aws lambda create-function \
  --function-name myFunction \
  --runtime nodejs24.x \
  --handler index.handler \
  --role arn:aws:iam::111122223333:role/service-role/my-lambda-role \
  --code ZipFile=fileb://myFunction.zip,SourceKMSKeyArn=arn:aws:kms:us-east-1:111122223333:key/key-id \
  --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/key2-id
```

Dans l’exemple [create-function](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/create-function.html) suivant :
+ `--code`: Spécifie l'emplacement du fichier .zip dans un compartiment Amazon S3 (`S3Bucket`,`S3Key`,`S3ObjectVersion`) et la clé gérée par le client pour le chiffrer (`SourceKMSKeyArn`).
+ `--kms-key-arn` : spécifie la clé gérée par le client pour chiffrer les variables d’environnement et la version décompressée du package de déploiement.

```
aws lambda create-function \
  --function-name myFunction \
  --runtime nodejs24.x --handler index.handler \
  --role arn:aws:iam::111122223333:role/service-role/my-lambda-role \
  --code S3Bucket=amzn-s3-demo-bucket,S3Key=myFileName.zip,S3ObjectVersion=myObjectVersion,SourceKMSKeyArn=arn:aws:kms:us-east-1:111122223333:key/key-id \
  --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/key2-id
```

**Pour ajouter un chiffrement par clé gérée par le client à une fonction existante**

Dans l'[update-function-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-code.html)exemple suivant :
+ `--zip-file` : spécifie le chemin local du package de déploiement .zip.
+ `--source-kms-key-arn` : spécifie la clé gérée par le client pour chiffrer la version compressée du package de déploiement. Lambda utilise une clé AWS détenue pour chiffrer le package décompressé pour les invocations de fonctions. Si vous souhaitez utiliser une clé gérée par le client pour chiffrer la version décompressée du package, exécutez la [update-function-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-configuration.html)commande avec l'option. `--kms-key-arn`

```
aws lambda update-function-code \
  --function-name myFunction \
  --zip-file fileb://myFunction.zip \
  --source-kms-key-arn arn:aws:kms:us-east-1:111122223333:key/key-id
```

Dans l'[update-function-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-code.html)exemple suivant :
+ `--s3-bucket` : spécifie l’emplacement du fichier .zip dans un compartiment Amazon S3.
+ `--s3-key` : spécifie la clé Amazon S3 du package de déploiement.
+ `--s3-object-version` : pour les objets versionnés, la version de l’objet de package de déploiement à utiliser.
+ `--source-kms-key-arn` : spécifie la clé gérée par le client pour chiffrer la version compressée du package de déploiement. Lambda utilise une clé AWS détenue pour chiffrer le package décompressé pour les invocations de fonctions. Si vous souhaitez utiliser une clé gérée par le client pour chiffrer la version décompressée du package, exécutez la [update-function-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-configuration.html)commande avec l'option. `--kms-key-arn`

```
aws lambda update-function-code \
  --function-name myFunction \
  --s3-bucket amzn-s3-demo-bucket \
  --s3-key myFileName.zip \
  --s3-object-version myObject Version
  --source-kms-key-arn arn:aws:kms:us-east-1:111122223333:key/key-id
```

**Pour supprimer le chiffrement par clé gérée par le client d’une fonction existante**

Dans l'[update-function-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-code.html)exemple suivant, `--zip-file` indique le chemin local vers le package de déploiement .zip. Lorsque vous exécutez cette commande sans `--source-kms-key-arn` option, Lambda utilise une clé AWS détenue pour chiffrer la version compressée du package de déploiement.

```
aws lambda update-function-code \
  --function-name myFunction \
  --zip-file fileb://myFunction.zip
```

------