Dois-je utiliser une clé gérée par AWS KMS ou une clé KMS gérée par le client pour chiffrer mes objets sur Amazon S3 ?

Lecture de 3 minute(s)
0

Je veux utiliser le chiffrement côté serveur avec AWS Key Management Service (SSE-KMS) pour mes objets stockés sur Amazon Simple Storage Service (Amazon S3). Dois-je utiliser une clé AWS KMS gérée par le client ? Ou dois-je utiliser la clé gérée par AWS KMS appelée aws/s3 ? Quelle est la différence entre les deux ?

Solution

AWS Key Management Service (AWS KMS) gère la clé AWS KMS aws/s3 par défaut, mais vous avez le contrôle total sur une clé gérée par le client.

Utilisation de la clé KMS aws/s3 par défaut

Remarque : Le nom de la clé KMS est aws/s3 dans la console Amazon S3. Toutefois, ne spécifiez pas ce nom ou cet identifiant si vous utilisez l'interface de ligne de commande AWS (AWS CLI).

Envisagez d'utiliser la clé KMS aws/s3 par défaut si :

  • Vous chargez ou accédez à des objets S3 à l'aide des principaux d'AWS Identity and Access Management (IAM) qui se trouvent dans le même compte AWS que la clé AWS KMS.
  • Vous ne souhaitez pas gérer les politiques pour la clé KMS.

Pour chiffrer un objet en utilisant la clé KMS par défaut aws/s3, définissez SSE-KMS comme méthode de chiffrement lors du chargement, mais ne spécifiez pas de clé :

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms

Remarque : Si vous recevez des erreurs lors de l'exécution de commandes AWS CLI, vérifiez que vous utilisez la version la plus récente d'AWS CLI.

Utilisation d'une clé gérée par le client

Envisagez d'utiliser une clé gérée par le client si :

  • Vous souhaitez créer, faire tourner, désactiver ou définir des contrôles d'accès pour la clé.
  • Vous souhaitez autoriser l'accès entre comptes à vos objets S3. Vous pouvez configurer la politique d'une clé gérée par le client afin d'autoriser l'accès à partir d'un autre compte.

Pour crypter un objet à l'aide d'une clé gérée par le client, définissez la méthode de cryptage SSE-KMS lors du téléchargement. Ensuite, spécifiez votre clé gérée par le client comme clé (--sse-kms-key-id) :

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey

Pour contrôler l'accès à votre clé gérée par le client, modifiez la politique de clé. Pour plus d'informations sur la création d'une stratégie clé, voir Création d'une politique de clé.


Informations connexes

Protection des données à l'aide du chiffrement côté serveur

Comment Amazon Simple Storage Service (Amazon S3) utilise AWS KMS

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an