Qu'advient-il des objets nouveaux ou existants lorsque j'active le chiffrement par défaut avec AWS KMS sur mon compartiment Amazon S3 ?

Dernière mise à jour : 18/12/2020

Je souhaite activer le chiffrement par défaut à l'aide d'AWS KMS (AWS Key Management Service) sur mon compartiment Amazon S3 (Amazon Simple Storage Service). Des objets sont déjà stockés dans mon compartiment. Si j'active le chiffrement par défaut, qu'advient-il du chiffrement des objets existants ? Que se passe-t-il lorsque je télécharge de nouveaux objets avec des paramètres de chiffrement différents ?

Résolution

Après avoir activé le chiffrement AWS KMS par défaut sur votre compartiment, Amazon S3 applique le chiffrement par défaut uniquement aux nouveaux objets que vous téléchargez sans aucun paramètre de chiffrement spécifié.

Le chiffrement de compartiment par défaut ne modifie pas les paramètres de chiffrement des objets existants. Par exemple, si vous activez le chiffrement côté serveur avec AWS KMS (SSE-KMS) sur le compartiment, tous les objets non chiffrés déjà présents dans le compartiment restent non chiffrés. En outre, tous les objets déjà chiffrés à l'aide de SSE-KMS, SSE-S3 ou SSE-C restent chiffrés avec leur clé respective.

Le chiffrement par défaut du compartiment ne remplace pas non plus les paramètres de chiffrement spécifiés dans le téléchargement d'un nouvel objet. Par exemple, si vous spécifiez le chiffrement AES256 dans votre requête PutObject à un compartiment avec un chiffrement SSE-KMS par défaut, l'objet conserve le chiffrement AES256 (SSE-S3).

Si votre compartiment a un chiffrement par défaut, mais que vous voyez des objets récemment téléchargés avec des paramètres de chiffrement différents, vérifiez les journaux d'événements de données AWS CloudTrail. Les journaux des requêtes d'API PUT, POST et InitiateMultiPartUpload ont un champ SSEApplied. Si la valeur de ce champ est Default_SSE_S3 ou Default_SSE_KMS, l'objet a un chiffrement par défaut. Si sa valeur est SSE_S3 ou SSE_KMS, l'objet a ses paramètres de chiffrement spécifiés dans la requête PutObject.

Remarque : pour exiger que les objets soient téléchargés avec SSE-KMS, vous pouvez utiliser une stratégie de compartiment, une stratégie de point d'accès ou une stratégie de contrôle de service AWS Organisations.</p


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?