Dois-je utiliser une clé gérée par AWS KMS ou une clé AWS KMS personnalisée pour chiffrer mes objets sur Amazon S3 ?

Dernière mise à jour :21/10/2020

Je veux utiliser le chiffrement côté serveur avec AWS Key Management Service (SSE-KMS) pour mes objets stockés sur Amazon Simple Storage Service (Amazon S3). Dois-je utiliser une clé master de client AWS KMS (CMK) personnalisée ? Ou devrais-je utiliser la CMK gérée par AWS KMS appelée aws/s3 ? Quelle est la différence entre les deux ?

Résolution

AWS KMS gère la CMK par défaut aws/s3, mais vous avez le contrôle total sur une CMK personnalisée.

Utilisation de la CMK par défaut aws/s3

Remarque : Le nom de la CMK est aws/s3 dans la console Amazon S3, mais vous ne spécifiez pas ce nom ou cet ID si vous utilisez l'interface en ligne de commande AWS (AWS CLI).

Envisagez d'utiliser la CMK par défaut aws/s3 si :

  • Vous téléchargez ou accédez à des objets S3 à l'aide des principes AWS Identity and Access Management (IAM) qui se trouvent dans le même compte AWS que la CMK.
  • Vous ne souhaitez pas gérer les stratégies pour la CMK.
  • Vous ne souhaitez pas faire tourner la CMK.

Pour chiffrer un objet en utilisant la CMK par défaut aws/s3, définissez SSE-KMS comme étant la méthode de chiffrement lors du téléchargement, mais ne spécifiez pas de clé :

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms

Remarque : si vous recevez des erreurs lors de l'exécution des commandes de l'interface de ligne de commande AWS, assurez-vous d'utiliser la version la plus récente de l'interface de ligne de commande AWS (AWS CLI).

Utilisation d’une CMK personnalisée

Envisagez d'utiliser une CMK personnalisée si :

  • Vous souhaitez créer, faire pivoter, désactiver ou définir des contrôles d'accès pour la CMK.
  • Vous souhaitez autoriser l'accès entre comptes à vos objets S3. Vous pouvez configurer la stratégie d'une CMK personnalisée afin d’autoriser l'accès à partir d'un autre compte.

Pour chiffrer un objet à l'aide d'une CMK personnalisée que vous avez créé, définissez SSE-KMS comme étant la méthode de cryptage lors du téléchargement. Ensuite, spécifiez votre CMK personnalisée comme clé (--sse-kms-key-id) :

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey

Pour contrôler l'accès à votre CMK personnalisé, modifiez la stratégie de clé. Pour plus d'informations sur la création d'une stratégie de clé AWS KMS, consultez Exemple de stratégie de clé


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?