Bonnes pratiques de chiffrement pour Amazon S3

Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.

Pour le chiffrement côté serveur dans Amazon S3, il existe trois options :

Amazon S3 applique le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour les téléchargements de nouveaux objets est disponible dans AWS CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans les AWS Command Line Interface (AWS CLI) et AWS SDKs. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.

Si le chiffrement côté serveur est utilisé pour chiffrer un objet au moment du chargement, ajoutez l'en-tête x-amz-server-side-encryption à la demande pour indiquer à Amazon S3 de chiffrer l'objet à l'aide de SSE-S3, SSE-KMS ou SSE-C. Les valeurs possibles pour l'en-tête x-amz-server-side-encryption sont les suivantes :

AES256, qui indique à Amazon S3 d'utiliser les clés gérées par Amazon S3.
aws:kms, qui indique à Amazon S3 d'utiliser des clés AWS KMS gérées.
Définition de la valeur sur True ou False pour SSE-C

Pour plus d'informations, consultez l'Defense-in-depth exigence 1 : les données doivent être chiffrées au repos et pendant le transit dans Comment utiliser les politiques relatives Defense-in-Depth aux compartiments et les appliquer pour sécuriser vos données Amazon S3 (article de AWS blog).

Pour le chiffrement côté client dans Amazon S3, il existe deux options :

Une clé stockée dans AWS KMS
Une clé stockée dans l'application

Tenez compte des bonnes pratiques de chiffrement suivantes pour ce service :

Dans AWS Config, implémentez la règle AWS gérée bucket-server-side-encryptioncompatible s3 pour valider et appliquer le chiffrement des compartiments S3.
Déployez une politique de compartiment Amazon S3 qui confirme que tous les objets chargés sont chiffrés à l'aide de la condition s3:x-amz-server-side-encryption. Pour plus d'informations, veuillez consulter l'exemple de politique de compartiment dans Protection des données dans SSE-S3 et les instructions dans Ajout d'une politique de compartiment.
Autorisez uniquement les connexions chiffrées sur HTTPS (TLS) avec la condition aws:SecureTransport sur les politiques de compartiment S3. Pour plus d'informations, consultez Quelle politique de compartiment S3 dois-je utiliser pour me conformer à la AWS Config règle s3- bucket-ssl-requests-only ?
Dans AWS Config, implémentez la règle bucket-ssl-requests-only AWS gérée par s3 pour obliger les demandes à utiliser le protocole SSL.
Utilisez une clé gérée par le client si vous devez accorder un accès intercompte à vos objets Amazon S3. Configurez la politique de clé pour autoriser l'accès depuis un autre Compte AWS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Secrets Manager

Amazon VPC