Dois-je utiliser une clé gérée par AWS KMS ou une clé AWS KMS personnalisée pour chiffrer mes objets sur Amazon S3 ?

Date de la dernière mise à jour : 21/10/2020

Je veux utiliser le chiffrement côté serveur avec AWS Key Management Service(SSE-KMS) pour mes objets stockés sur Amazon Simple Storage Service (Amazon S3). Dois-je utiliser une clé AWS KMS personnalisée (clé KMS) ? Ou dois-je utiliser la clé KMS gérée par AWS KMS appelée aws/s3 ? Quelle est la différence entre les deux ?

Résolution

AWS KMS gère la clé KMS par défaut aws/s3, mais vous avez un contrôle total sur une clé KMS personnalisée.

Utilisation de la clé KMS aws/s3 par défaut

Remarque : le nom de la clé KMS est aws/s3 dans la console Amazon S3, mais vous ne spécifiez pas ce nom ou cet ID si vous utilisez AWS Command Line Interface (AWS CLI).

Envisagez d'utiliser la clé KMS aws/s3 par défaut si :

  • Vous téléchargez ou accédez à des objets S3 à l'aide des principaux AWS Identity and Access Management (IAM) qui se trouvent dans le même compte AWS que la clé KMS.
  • Vous ne souhaitez pas gérer les politiques pour la clé KMS.
  • Vous ne souhaitez pas faire tourner la clé KMS.

Pour chiffrer un objet en utilisant la clé KMS par défaut aws/s3, définissez SSE-KMS comme méthode de chiffrement lors du téléchargement, mais ne spécifiez pas de clé :

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms

Remarque : en cas d'erreurs lors de l'exécution des commandes AWS CLI, vérifiez que vous utilisez la version la plus récente de ces commandes.

Utilisation d'une clé KMS personnalisée

Envisagez d'utiliser une clé KMS personnalisée si :

  • Vous souhaitez créer, faire tourner, désactiver ou définir des contrôles d'accès pour la clé KMS.
  • Vous souhaitez autoriser l'accès entre comptes à vos objets S3. Vous pouvez configurer la stratégie d'une clé KMS personnalisée afin d'autoriser l'accès à partir d'un autre compte.

Pour chiffrer un objet à l'aide d'une clé KMS personnalisée que vous avez créée, définissez SSE-KMS comme méthode de chiffrement lors du chargement. Ensuite, spécifiez votre clé KMS personnalisée comme clé (--sse-kms-key-id) :

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey

Pour contrôler l'accès à votre clé KMS personnalisée, modifiez la stratégie de clé. Pour plus d'informations sur la création d'une stratégie de clé AWS KMS, consultez Exemple de politique de clé


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?