Je veux utiliser le chiffrement côté serveur avec AWS Key Management Service (SSE-KMS) pour mes objets stockés sur Amazon Simple Storage Service (Amazon S3). Dois-je utiliser une clé master de client AWS KMS (CMK) personnalisée ? Ou devrais-je utiliser la CMK gérée par AWS KMS appelée aws/s3 ? Quelle est la différence entre les deux ?

AWS KMS gère la CMK par défaut aws/s3, mais vous avez le contrôle total sur une CMK personnalisée.

Utilisation de la CMK par défaut aws/s3

Remarque : Le nom de la CMK est aws/s3 dans la console Amazon S3, mais vous ne spécifiez pas ce nom ou cet ID si vous utilisez l'interface en ligne de commande AWS (AWS CLI).

Envisagez d'utiliser la CMK par défaut aws/s3 si :

  • Vous téléchargez ou accédez à des objets S3 à l'aide des principes AWS Identity and Access Management (IAM) qui se trouvent dans le même compte AWS que la CMK.
  • Vous ne souhaitez pas gérer les stratégies pour la CMK.
  • Vous ne souhaitez pas faire tourner la CMK.

Pour chiffrer un objet en utilisant la CMK par défaut aws/s3, définissez SSE-KMS comme étant la méthode de chiffrement lors du téléchargement, mais ne spécifiez pas de clé :

aws s3 cp ./mytextfile.txt s3://mytestbucket/ --sse aws:kms

Utilisation d’une CMK personnalisée

Envisagez d'utiliser une CMK personnalisée si :

  • Vous souhaitez créer, faire pivoter, désactiver ou définir des contrôles d'accès pour la CMK.
  • Vous souhaitez autoriser l'accès entre comptes à vos objets S3. Vous pouvez configurer la stratégie d'une CMK personnalisée afin d’autoriser l'accès à partir d'un autre compte.

Pour chiffrer un objet à l'aide d'une CMK personnalisée que vous avez créé, définissez SSE-KMS comme étant la méthode de cryptage lors du téléchargement. Ensuite, spécifiez votre CMK personnalisée comme clé (--sse-kms-key-id) :

aws s3 cp ./mytextfile.txt s3://mytestbucket/ --sse aws:kms --sse-kms-key-id testkey

Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 06/02/2019