Amazon S3 stocke les données en tant qu'objets dans des ressources appelées « buckets », ou compartiments. Vous pouvez stocker autant d'objets que vous le souhaitez au sein d'un compartiment, et écrire, lire et supprimer des objets dans votre compartiment. Les objets peuvent atteindre une taille maximale de 5 téraoctets.

Vous pouvez contrôler l'accès au compartiment (les utilisateurs autorisés à créer, supprimer et récupérer les objets dans le compartiment par exemple), consulter les journaux d'accès au compartiment et à ses objets et choisir la région AWS où est stocké un compartiment pour optimiser la latence, limiter les coûts et répondre aux exigences réglementaires.

Faites vos premiers pas avec AWS dès aujourd'hui

Essayez Amazon S3 gratuitement

Le niveau gratuit d'AWS inclut 5 Go de stockage, 20 000 demandes Get et 2 000 demandes Put avec Amazon S3.

Voir les détails relatifs au niveau gratuit d'AWS »

S3_ProductPage_Banner

Amazon S3 est conçu comme une plateforme de stockage complète. Découvrez les avantages inclus avec chaque Go.

Simplicité. Amazon S3 est pensé pour la simplicité : le service propose une console de gestion Web, une application mobile, des API REST complètes et des kits de développement logiciel pour permettre une intégration aisée avec des technologies tierces.

Durabilité. Amazon S3 est disponible dans toutes les régions du monde. Le service intègre la redondance géographique dans chaque région et peut répliquer les données à travers les régions. En outre, plusieurs versions d'un même objet peuvent être conservées pour permettre une restauration à un instant dans le passé.

Evolutivité. Des clients du monde entier comptent sur Amazon S3 pour préserver plusieurs trillions d'objets par jour. Les coûts augmentent et diminuent à la demande, et les déploiements internationaux se font en seulement quelques minutes. Des acteurs de milieux comme les services financiers, la santé, les médias et le divertissement l'utilisent pour créer des applications d'archivage, d'analyse, de transcodage et de Big Data.

Sécurité. Amazon S3 prend en charge le transfert de données via SSL et le chiffrement automatique de vos données une fois ces dernières chargées. Vous pouvez également configurer des politiques de compartiment pour gérer les autorisations des objets et contrôler l'accès à vos données à l'aide d'AWS Identity and Access Management (IAM).

Exécution de requêtes sur place. Amazon S3 Select traite les données au sein d'un objet en stockage au repos.Amazon Athena et Amazon Redshift Spectrum, quant à eux, vous permettent d'exécuter des analyses avancées directement sur les données stockées dans Amazon S3.

Intégration étendue avec les autres services AWS pour la sécurité (IAM et KMS), les alertes (CloudWatch, CloudTrail et Event Notifications), le calcul (Lambda) et les bases de données (EMR, Redshift), conçus pour être directement intégrés à Amazon S3.

Options de migration de données vers le cloud. Les services de stockage AWS incluent différentes méthodes spécialisées pour vous aider à envoyer et extraire vos données du cloud.

Gestion flexible du stockage. Les fonctionnalités de S3 Storage Management vous permettent d'adopter une approche axée sur les données pour l'optimisation du stockage, la sécurité des données et l'efficacité de gestion. 


Les fonctionnalités d'Amazon S3 Storage Management permettent aux clients d'adopter une approche axée sur les données pour l'optimisation du stockage, la conformité et l'efficacité de gestion. Ces fonctionnalités s'allient pour améliorer les performances liées aux charges de travail, encourager la conformité, rationaliser les processus métiers et permettre une hiérarchisation plus intelligente du stockage en vue d'optimiser les frais de stockage et les performances.

En savoir plus

Vous pouvez accéder facilement à Amazon S3 par l'intermédiaire de la console S3, des SDK ou de l'intégration de FIL. S3 est pris en charge par les AWS SDK pour Java, PHP, .NET, Python, Node.js, Ruby et par AWS Mobile SDK. Les bibliothèques SDK incorporent l'API REST sous-jacente afin de simplifier vos tâches de programmation.

En savoir plus

Amazon S3 fournit une infrastructure durable pour stocker les données importantes et est conçu pour offrir une durabilité de 99,999999999 % des objets. Vos données sont stockées de manière redondante sur plusieurs installations et sur plusieurs appareils au sein de chaque installation.

En savoir plus

Amazon propose différentes options de migration de données dans le cloud et permet de déplacer de façon simple et économique de grands volumes de données depuis Amazon S3. Les clients ont le choix entre des méthodes optimisées selon le réseau, basées sur des disques physiques ou axées sur des connecteurs tiers pour transférer leurs données vers ou depuis S3.

En savoir plus

Amazon S3 propose plusieurs mécanismes qui vous permettent de contrôler et surveiller les personnes qui peuvent accéder à vos données et de connaître la manière, le moment et le lieu où elles y accèdent. Les points de terminaison VPC vous permettent de créer une connexion sécurisée sans passerelle ni instances NAT.

En savoir plus

Outre S3 Standard, vous avez accès à l'option Standard - Infrequent Access moins coûteuse pour les données consultées peu fréquemment et à Amazon Glacier pour l'archivage des données peu utilisées au coût le plus bas possible.

En savoir plus

Amazon S3 Select (désormais disponible en version préliminaire) permet à vos applications de scanner et de filtrer des données sans avoir besoin d'extraire du stockage, accélérant ainsi les performances et réduisant le coût des analyses avancées. 

En savoir plus


Amazon possède une suite d'outils accélérant l'analyse et le traitement de grandes quantités de données dans le Cloud, et permettant notamment d'optimiser et d'intégrer des flux de travail existants dans Amazon S3. 

Amazon S3 Select est conçu pour vous aider à analyser et à traiter des données se trouvant au sein d'un objet dans des compartiments Amazon S3, le tout de manière plus rapide et plus économique. Il vous permet d'extraire un sous-ensemble de données d'un objet dans Amazon S3 à l'aide d'expressions SQL simples. Vos applications n'ont donc plus besoin d'utiliser des ressources de calcul pour analyser et filtrer les données d'un objet, ce qui vous permet de bénéficier d'une augmentation potentielle des performances des requêtes pouvant aller jusqu'à 400 % et une réduction des coûts des requêtes pouvant aller jusqu'à 80 %. Il vous suffit d'indiquer à votre application d'utiliser SELECT au lieu de GET pour tirer parti des avantages d'Amazon S3 Select. Pendant la version préliminaire, S3 Select n'est disponible que via API et n'est proposé que dans les régions AWS USA Est (Ohio), USA Est (Virginie du Nord), USA Ouest (Oregon), UE (Irlande) et Asie-Pacifique (Singapour). La console et l'interface de ligne de commande (CLI) S3 ne sont pas disponibles pendant la version préliminaire.

Amazon Athena est un service de requêtes interactif qui facilite l'analyse des données dans Amazon S3 grâce au SQL standard. Athena fonctionne sans serveur. Il n'existe aucune infrastructure à gérer et vous ne payez que pour les requêtes que vous exécutez.

Athena est facile à utiliser. Cliquez simplement sur vos données dans Amazon S3, définissez le schéma et commencez à lancer vos requêtes à l'aide du SQL standard. La plupart des résultats sont fournis en quelques secondes. Avec Athena, vous n'avez pas besoin de préparer vos données pour une analyse pour les tâches ETL complexes. Cela permet à quiconque possédant des compétences SQL d'analyser rapidement des ensembles à grande échelle.

Amazon Redshift inclut également Redshift Spectrum, qui vous permet d'exécuter directement des requêtes SQL sur plusieurs exaoctets de données non structurées dans Amazon S3. Aucun chargement ni aucune transformation ne sont nécessaires, et vous pouvez utiliser des formats de données ouverts, notamment Avro, CSV, Grok, ORC, Parquet, RCFile, RegexSerDe, SequenceFile, TextFile et TSV. Redshift Spectrum dimensionne automatiquement la capacité de calcul de la requête selon les données extraites, si bien que les requêtes adressées à Amazon S3 s'exécutent rapidement, quelle que soit la taille de l'ensemble de données.

Amazon S3 facilite la gestion de vos données en vous donnant des informations concrètes concernant vos modèles d'utilisation des données et en mettant à votre disposition les outils nécessaires pour gérer votre stockage grâce aux politiques de gestion. Toutes ces fonctionnalités de gestion sont très faciles à administrer depuis les API Amazon S3 ou l'AWS Management Console. Les diverses fonctionnalités de gestion des données proposées par Amazon S3 sont décrites en détail ci-après.

Avec Amazon S3 Object Tagging, vous pouvez gérer et contrôler les accès pour les objets Amazon S3. Les balises S3 Object sont des paires clé-valeur appliquées aux objets S3 pouvant être crées, téléchargées ou supprimées à tout moment de la durée de vie de l'objet. Elles vous donnent la possibilité de créer des politiques Identity and Access Management (IAM), de configurer des politiques de gestion du cycle de vie S3 et de personnaliser les mesures de stockage. Ces balises au niveau de l'objet peuvent ensuite gérer les transitions entre les classes de stockage et les objets d'expiration en arrière-plan.

Vous pouvez simplifier et accélérer les flux de travail d'entreprise et les tâches de Big Data à l'aide de la fonction S3 Inventory qui constitue une alternative planifiée à l'API synchrone List d'Amazon S3. Chaque jour ou chaque semaine, la fonction S3 Inventory crée un fichier de sortie au format CSV (Comma Separated Values) ou ORC (Optimized Row Columnar) à partir de vos objets, et des métadonnées qui sont associées à ceux-ci, pour un compartiment S3 ou un préfixe. S3 Inventory vous permet également de vérifier et de communiquer facilement le statut de chiffrement des objets pour les besoins de votre entreprise, à des fins de conformité et pour les organismes de réglementation.

L'analyse des classes de stockage vous permet de surveiller la fréquence des accès des objets de votre compartiment S3 afin de transférer le stockage consulté moins fréquemment vers une classe de stockage à moindre coût. Cette nouvelle fonctionnalité S3 Analytics observe les modèles d'utilisation pour identifier le stockage consulté moins fréquemment et vous aider à transférer les bons objets vers S3 Standard – IA. Vous pouvez configurer une politique d'analyse des classes de stockage de façon à surveiller un compartiment complet, un préfixe ou une balise Object. Une fois que S3 Analytics identifie les données parfaites pour un transfert vers Standard – IA, vous pouvez facilement créer une nouvelle politique de gestion du cycle de vie basée sur ces résultats. Cette fonctionnalité comprend également une analyse quotidienne détaillée de votre utilisation de stockage au niveau du compartiment, du préfixe ou de la balise indiqués, que vous pouvez exporter vers un compartiment S3. 

L'intégration d'Amazon S3 CloudWatch vous permet d'améliorer votre expérience utilisateur en intégrant des capacités de surveillance et d'alerte sur plusieurs métriques différentes. Vous pouvez recevoir des mesures CloudWatch à intervalles d'une minute, configurer des alarmes CloudWatch et accéder aux tableaux de bord CloudWatch pour voir en temps réel les opérations et les performances de votre stockage Amazon S3. Pour les applications Web et mobiles dépendant du stockage dans le cloud, elles vous permettent d'identifier et de résoudre rapidement les problèmes opérationnels. Ces mesures à intervalles d'une minute sont disponibles au niveau du compartiment S3. De plus, vous avez la possibilité de définir un filtre pour les mesures recueillies à l'aide d'un préfixe ou d'une balise Object communs, et donc d'aligner les filtres des mesures sur des applications professionnelles, des flux de travail ou des organisations internes spécifiques.

Vous pouvez vous servir d'AWS CloudTrail pour saisir des données sur l'activité relative aux API au niveau du compartiment (événements liés à la gestion) et au niveau de l'objet (événements liés aux données) sur les objets S3. Les événements liés aux données comprennent les opérations de lecture, telles que GET, HEAD et Get Object ACL, ainsi que les opérations d'écriture, telles que PUT et POST. Les détails saisis permettent la prise en charge de divers types de cas d'utilisation liés à la sécurité, aux audits, à la gouvernance et à la conformité. Consultez la page AWS CloudTrail pour en savoir plus sur les événements liés aux données S3.

Amazon S3 peut automatiquement attribuer et modifier des caractéristiques de coût et de performance à mesure que vos données évoluent. Le service peut même automatiser les tâches de gestion du cycle de vie des données, notamment le dimensionnement des capacités, la migration automatique visant à réduire les coûts de stockage, les politiques de conformité réglementaire et les éventuelles suppressions programmées.

Au fil du cycle de vie de vos données, lorsque votre matériel présente des défaillances ou arrive en fin de vie, Amazon S3 se charge de migrer vos données, de façon automatique et entièrement transparente, vers de nouveaux supports matériels. Ainsi, vous n'avez plus besoin d'effectuer la moindre migration matérielle risquée, onéreuse et chronophage. Vous pouvez directement configurer des politiques de gestion du cycle de vie Amazon S3 de façon à migrer automatiquement vos données vers un emplacement de stockage à moindre coût à mesure que vos données vieillissent. Vous pouvez définir des règles de migration automatique des objets Amazon S3 vers Standard – Infrequent Access (Standard – IA) ou Amazon Glacier en fonction de l'âge des données.  Vous pouvez configurer des politiques de gestion du cycle de vie par compartiment, par préfixe ou par balise Object, ce qui vous permet d'indiquer le niveau de précision convenant le mieux à votre cas d'utilisation.

Lorsque vos données arrivent en fin de vie, Amazon S3 fournit des options de programmation pour la suppression de volumes importants et l'exécution de suppressions récurrentes. Pour les suppressions récurrentes, des règles peuvent être définies de sorte à effacer des ensembles d'objets après un intervalle de temps prédéfini. Ces règles peuvent s'appliquer aux objets stockés sur Standard ou Standard - IA et aux objets archivés sur Amazon Glacier.

Vous pouvez définir des règles de cycle de vie sur les versions de vos objets Amazon S3 afin d'en réduire les coûts de stockage. Par exemple, vous pouvez créer des régles pour supprimer, automatiquement et proprement, d'anciennes versions de vos objets lorsque vous n'en avez plus besoin, ce qui vous permet de réaliser des économies et d'améliorer les performances. Vous avez également la possibilité de créer des règles de migration automatique des anciennes versions vers Standard – IA ou Amazon Glacier en vue de réduire davantage vos coûts de stockage.

La réplication entre régions permet de répliquer facilement de nouveaux objets dans une autre région AWS pour des raisons de latence, de conformité, de récupération après sinistre et différents autres cas d'utilisation. La réplication entre régions réplique tous les objets chargés dans votre compartiment source vers un compartiment de destination dans une autre région AWS que vous choisissez. Les métadonnées, les listes de contrôle d'accès (LCA) et les balises Object associées à l'objet font également partie de la réplication. Une fois que vous avez configuré la réplication entre régions sur votre compartiment source, toute modification apportée aux données, métadonnées, LCA ou balises Object de l'objet déclenche une nouvelle réplication vers le compartiment de destination.

La réplication entre régions est une configuration au niveau du compartiment, et vous pouvez l'activer sur votre compartiment en indiquant un compartiment de destination dans une autre région. Avec la réplication entre régions, vous pouvez sélectionner n'importe quelle région AWS comme région cible ou n'importe quelle classe de stockage S3 pour votre stockage répliqué, selon vos besoins. Vous pouvez configurer la réplication entre régions d'un compte à un autre et avoir une pile de propriété distincte entre la source et la destination. La réplication entre régions est une configuration au niveau du compartiment et vous pouvez l'activer sur votre compartiment en indiquant un compartiment de destination dans une autre région à l'aide d'AWS Management Console, de l'API REST, de l'interface de ligne de commande AWS ou des kits SDK AWS. Le contrôle de version doit être activé sur les compartiments source et de destination pour permettre la réplication entre régions. En savoir plus.

Amazon S3 propose plusieurs fonctionnalités pour la gestion et le contrôle de vos coûts. Vous pouvez utiliser AWS Management Console ou les API Amazon S3 pour appliquer des balises à vos compartiments Amazon S3, afin de ventiler vos dépenses sur plusieurs dimensions métier, telles que les centres de coûts, les noms d'application ou les propriétaires. Pour consulter le détail de ces dépenses, servez-vous des rapports de répartition des coûts d'Amazon Web Services, dans lesquels figurent votre consommation et vos coûts, regroupés en fonction des balises de votre compartiment. Pour en savoir plus sur la répartition des coûts et le balisage, consultez la page de présentation de la facturation des comptes AWS. Pour en savoir plus sur l'utilisation de balises sur vos compartiments S3, consultez la section relative à la définition de balises de compartiment du manuel Amazon S3 Developer Guide.

Vous pouvez utiliser Amazon CloudWatch pour recevoir des alertes qui vous aideront à suivre les frais Amazon S3 qui vous sont facturés. Il est également possible de configurer une alerte pour être automatiquement informé par e-mail dès que les frais estimés atteignent un seuil prédéfini. Pour plus d'informations à ce sujet, vous pouvez consulter la page relative aux alertes de facturation ou la section concernant la surveillance des frais estimés dans le manuel Amazon CloudWatch Developer Guide.

Les notifications d'évènements Amazon S3 peuvent être envoyées en réponse à des actions réalisées sur des objets chargés ou stockés sur Amazon S3. Les messages de notification peuvent être diffusés via Amazon SNS ou Amazon SQS, ou être transmis directement à AWS Lambda pour appeler des fonctions AWS Lambda.

Les notifications d'événements Amazon S3 vous permettent d'exécuter des flux de travail, d'envoyer des alertes ou de réaliser d'autres actions en réponse aux modifications apportées à vos objets stockés dans Amazon S3. Vous pouvez utiliser les notifications d'événements Amazon S3 pour configurer des déclencheurs en vue de réaliser des actions telles que le transcodage de fichiers multimédia lorsqu'ils sont chargés, le traitement des fichiers de données lorsqu'ils sont disponibles, et la synchronisation des objets Amazon S3 avec d'autres magasins de données. Vous pouvez également configurer des notifications d'événements en fonction des préfixes et suffixes de noms d'objet. Par exemple, vous pouvez choisir de recevoir des notifications pour les noms d'objet commençant par « images/ ». Il est également possible de s'en servir pour tenir un index secondaire des objets Amazon S3 synchronisés.

Les notifications d'évènements Amazon S3 sont définies au niveau du compartiment et vous pouvez les configurer via la console Amazon S3, l'API REST ou à l'aide d'un kit de développement logiciel AWS.

Pour en savoir plus, consultez la rubrique Configuring Notifications for Amazon S3 Events du manuel Amazon S3 Developer Guide.


Amazon S3 offre une infrastructure de stockage hautement durable, pensée pour le stockage de données primaires et essentielles. Amazon S3 stocke les données de façon redondante sur plusieurs sites et sur des périphériques multiples sur chaque site. Pour accroître la durabilité, Amazon S3 stocke vos données de façon synchrone sur différentes installations avant d'indiquer que les données ont bien été stockées. De plus, Amazon S3 calcule les totaux de contrôle sur tout le trafic du réseau pour détecter d'éventuels compartiments de données endommagés lors du stockage ou de la récupération des données. Contrairement aux systèmes classiques qui requièrent de lourdes opérations de vérification et de réparation manuelles des données, Amazon S3 effectue des vérifications régulières et systématiques de l'intégrité de vos données. De plus, sa conception lui permet de réaliser une auto-régénération automatique.

Standard est :

  • Renforcé par l'Accord de niveau de service Amazon S3 en termes de disponibilité.
  • Conçu pour fournir aux objets une durabilité de 99,999999999 % et une disponibilité de 99,99 % sur une période d'un an.
  • Conçu pour résister à la perte simultanée de données dans deux installations.

Standard - Infrequent Access est :

  • S'appuyant sur l'accord de niveau de service Amazon S3 en termes de disponibilité.
  • Conçu pour fournir aux objets une durabilité de 99,999999999 % et une disponibilité de 99,9 % sur une année donnée.
  • Conçu pour résister à la perte simultanée de données dans deux installations.

Amazon Glacier est :

  • Conçu pour fournir aux objets une durabilité de 99,999999999 % sur une année donnée.
  • Conçu pour résister à la perte simultanée de données dans deux installations.

Amazon possède une suite d'outils qui accélèrent la migration de données vers le cloud, avec notamment des méthodes pour optimiser ou remplacer votre réseau et des moyens d'intégrer les workflows existants à S3.

Amazon S3 Transfer Acceleration est conçu pour maximiser les vitesses de transfert vers les buckets (compartiments) Amazon S3 sur de grandes distances. Il fonctionne en assurant le trafic HTTP et HTTPS sur un pont réseau hautement optimisé exécuté entre l'emplacement périphérique (edge location) AWS le plus proche de vos clients et votre bucket (compartiment) S3. Vous n'avez aucun serveur de passerelle à gérer, aucun pare-feu à ouvrir, aucun port ou client spécial à intégrer, ni aucuns frais initiaux à payer. Modifiez simplement l'Endpoint Amazon S3 que votre application utilise pour transférer les données et l'accélération est automatiquement appliquée. Utilisez Transfer Acceleration dans les cas suivants :

  • Vous avez besoin d'accélérer les chargements depuis des clients très éloignés de votre bucket (compartiment), par exemple, entre différents pays ou continents.
  • Certains de vos clients sont situés à l'extérieur de vos data centers et comptent sur l'Internet public pour accéder à Amazon S3. Pour les clients situés à l'intérieur de vos data centers, envisagez le service AWS Direct Connect.

En savoir plus

Les services de migration de données AWS utilisent des appareils sécurisés pour transférer des volumes importants de données, pouvant aller de plusieurs pétaoctets à plusieurs exaoctets, vers et depuis Amazon S3. AWS Snowball, AWS Snowball Edge et AWS Snowmobile résolvent les problèmes habituels associés aux transferts de données à grande échelle, parmi lesquels les coûts élevés de la mise en réseau, la durée trop longue des transferts et les enjeux en matière de sécurité. Vous pouvez transférer des données facilement, rapidement et de manière sécurisée, le tout à seulement un cinquième du coût d'un transfert via une connexion Internet haut débit.

En savoir plus

Il est possible de lier facilement les données ou les systèmes de stockage sur site à Amazon S3 grâce à AWS Storage Gateway. Cela signifie que vos systèmes, logiciels, processus et données existants peuvent être rationalisés dans le cloud à des fins de sauvegarde, de migration, de hiérarchisation ou d'éclatement avec une interruption minime des activités.

En savoir plus

Plusieurs partenaires FIL sont intégrés à Amazon S3 pour simplifier le transfert et la récupération des données. Consultez la page Partenaires pour le stockage AWS afin de voir une liste des partenaires AWS agréés.


Les données stockées dans Amazon S3 sont sécurisées par défaut ; seuls les propriétaires du compartiment et de l'objet ont accès aux ressources Amazon S3 qu'ils créent. Amazon S3 prend en charge plusieurs mécanismes de contrôle d'accès, ainsi que le cryptage à la fois pour un transit sécurisé et un stockage sécurisé au repos. Avec les fonctions de protection de données d'Amazon S3, vous pouvez protéger vos données à la fois de pannes logiques et physiques, parer à la perte de données à la suite d'actions utilisateurs involontaires, des erreurs d'applications et des pannes d'infrastructure. Pour les clients qui doivent se conformer aux normes réglementaires telles que PCI et HIPAA, les fonctions de protection de données d'Amazon S3 peuvent être utilisées comme partie d'une stratégie globale pour atteindre la conformité. Les diverses fonctions de sécurité et de fiabilité offertes par Amazon S3 sont décrites en détail ci-dessous.

Amazon Macie utilise l'apprentissage machine pour automatiquement découvrir, classer et protéger les données sensibles dans AWS. Amazon Macie reconnaît les données sensibles telles que les données personnelles (PII) ou la propriété intellectuelle, et vous fournit un tableau de bord et des alertes qui vous permettent de voir les méthodes d'accès aux données et leurs mouvements. Ce service pleinement géré surveille en permanence l’activité liée à l’accès aux données pour détecter les anomalie et génère des alertes dès qu'il détecte un risque d’accès non autorisé ou de fuite accidentelle de données.

Amazon S3 prend en charge plusieurs mécanismes qui vous donnent la possibilité de contrôler les personnes qui peuvent accéder à vos données et de connaître la manière, le moment et le lieu où elles le font. Amazon S3 fournit quatre mécanismes de contrôle d'accès différents : les politiques d'AWS Identity and Access Management (IAM), Access Control Lists (ACL), les politiques de compartiment et l'authentification par chaîne d'interrogation. IAM permet aux organisations de créer et gérer des utilisateurs multiples sous un seul compte AWS. Avec les politiques IAM, vous pouvez autoriser aux utilisateurs IAM un contrôle dense sur votre compartiment ou objets Amazon S3. Vous pouvez utiliser les listes de contrôle d'accès pour ajouter (accorder) sélectivement certaines autorisations sur des objets individuels. Les politiques de compartiment Amazon S3 peuvent être utilisées pour ajouter ou refuser des autorisations au travers certains ou tous les objets dans un seul compartiment. Avec l'authentification par chaîne d'interrogation, vous avez la capacité de partager des objets Amazon S3 par le biais d'URL qui sont valides pendant une durée prédéfinie.

La console S3 met en surbrillance vos compartiments S3 publiquement accessibles, et vous avertit également si les changements que vous apportez aux politiques de compartiment et aux listes de contrôle d'accès du compartiment rendront ce compartiment publiquement accessible.

Vous pouvez accéder à Amazon S3 depuis votre Amazon Virtual Private Cloud (Amazon VPC) à l'aide des points de terminaison VPC. Les points de terminaison VPC sont faciles à configurer et fournissent une connectivité fiable à Amazon S3, sans nécessiter de passerelle Internet ni d'instance NAT (Network Address Translation, Traduction d'adresse réseau). Avec les points de terminaison VPC, les données sont transférées entre Amazon VPC et Amazon S3 au sein du réseau Amazon, ce qui contribue à la protection de vos instances contre le trafic Internet. Les points de terminaison VPC Amazon pour Amazon S3 fournissent des contrôles de sécurité à plusieurs niveaux, afin d'aider à limiter l'accès aux compartiments S3. Tout d'abord, vous pouvez exiger que les demandes envoyées à vos compartiments Amazon S3 proviennent d'un VPC utilisant un point de terminaison VPC. De plus, vous pouvez contrôler quels compartiments, demandes, utilisateurs ou groupes sont autorisés à passer par un point de terminaison VPC spécifique.

Vous pouvez charger ou télécharger de manière sécurisée vos données sur Amazon S3 par le biais des points de terminaison à cryptage SSL en utilisant le protocole HTTPS. Amazon S3 peut chiffrer automatiquement vos données au repos et vous offre plusieurs options de gestion des clés. Vous pouvez configurer vos compartiments S3 de manière à chiffrer automatiquement les objets avant de les stocker en S3 si les demandes de stockage entrantes ne contiennent pas les informations de chiffrement. Sinon, vous avez également la possibilité d'utiliser une bibliothèque de cryptage cliente telle que Amazon S3 Encryption Client pour chiffrer vos données avant de les charger sur Amazon S3.

Si vous choisissez de laisser Amazon S3 chiffrer vos données au repos à l'aide du cryptage côté serveur (SSE), Amazon S3 cryptera automatiquement vos données dès leur écriture et décryptera vos données dès leur récupération. Lorsque SSE d'Amazon S3 chiffre les données au repos, il a recours aux clés symétriques AES (Advanced Encryption Standard) à 256 bits. Si vous choisissez le cryptage côté serveur à l'aide d'Amazon S3, il existe trois façon de gérer les clés de chiffrement.

 

SSE avec la gestion des clés Amazon S3 (SSE-S3)

Avec SSE-S3, Amazon S3 cryptera vos données au repos et gérera les clés de chiffrement pour vous.

 

SSE avec les clés fournies par le client (SSE-C)

Avec SSE-C, Amazon S3 cryptera vos données au repos à l'aide des clés de chiffrement personnalisées que vous fournissez. Pour utiliser SSE-C, il vous suffit d'ajouter votre clé de chiffrement personnalisée à votre demande de chargement, et Amazon S3 cryptera l'objet à l'aide de cette clé et stockera de façon sécurisée les données chiffrées au repos. De même, pour récupérer un objet chiffré, fournissez votre clé de chiffrement personnalisée et Amazon S3 décryptera l'objet dans le cadre de la récupération. Amazon S3 ne stocke votre clé de chiffrement nulle part ; la clé est immédiatement supprimée une fois qu'Amazon S3 a traité vos demandes.

 

SSE avec AWS KMS (SSE-KMS)

Avec SSE-KMS, Amazon S3 cryptera vos données au repos à l'aide des clés que vous gérez dans AWS Key Management Service (KMS). Utiliser AWS KMS pour la gestion des clés présente plusieurs avantages. Avec AWS KMS, il existe plusieurs autorisations distinctes pour l'utilisation de la clé maître, vous permettant de bénéficier d'un niveau de contrôle supplémentaire ainsi que d'une protection contre les accès non autorisés à votre objet stocké dans Amazon S3. AWS KMS fournit un relevé des accès de sorte que vous puissiez voir qui a utilisé votre clé pour accéder à un objet et à quel moment, et consulter les tentatives d'accès non autorisées aux données des utilisateurs pour décrypter les données. En outre, AWS KMS offre des contrôles de sécurité supplémentaires afin de soutenir les efforts des clients pour se conformer aux exigences de l'industrie CI-DSS, HIPAA/HITECH et FedRAMP.

 

Pour plus d'informations, reportez-vous aux sections Using Data Encryption du manuel Amazon S3 Developer Guide.

Amazon S3 supporte aussi la journalisation de requêtes faites contre vos ressources Amazon S3. Vous pouvez configurer votre compartiment Amazon S3 pour créer des enregistrements de journal d'accès pour les requêtes faites conte lui. Ces journaux d'accès serveur capturent toutes les requêtes concernant un compartiment ou les objets qu'il contient, et peuvent être utilisés dans le but d'un audit.

Pour plus d'informations sur les divers dispositifs de sécurité disponibles dans Amazon S3, reportez-vous à la section Access Control du manuel Amazon S3 Developer Guide. Pour une présentation sur la sécurité sur AWS, y compris Amazon S3, reportez-vous au document Amazon Web Services : Présentation des procédures de sécurité.

Amazon S3 fournit encore plus de protection par l'intermédiaire de la fonctionnalité de contrôle de version. Vous pouvez utiliser le contrôle de version pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. Ceci vous permet de récupérer facilement les objets perdus suite à des actions involontaires d'utilisateurs et des défaillances d'applications. Par défaut, les demandes récupéreront la version écrite la plus récente. Les versions plus anciennes d'un objet peuvent être récupérées en indiquant une version dans la demande. Les taux de stockage s'appliquent pour chaque version stockée. Vous pouvez configurer des règles de cycle de vie pour contrôler automatiquement la durée de vie et le coût de stockage de plusieurs versions.

Amazon S3 fournit un niveau de sécurité supplémentaire avec l'option Suppression authentification multi-facteurs (MFA). Lorsque cette fonctionnalité est activée, elle requiert l'utilisation d'un appareil d'authentification multi-facteurs pour supprimer des objets stockés dans Amazon S3 afin de vous aider à protéger les versions précédentes de vos objets.

En activant l'option Suppression MFA sur votre compartiment Amazon S3, vous pouvez uniquement modifier l'état du contrôle de version de votre compartiment ou supprimer de façon définitive la version d'un objet lorsque vous fournissez deux formulaires d'authentification conjointement :

  • Vos identifiants de compte AWS
  • L'enchaînement d'un numéro de série valide, d'un espace et du code à six chiffres affiché sur un appareil d'authentification approuvé

En savoir plus

Amazon S3 prend en charge l'authentification par chaîne d'interrogation, vous permettant ainsi de fournir une adresse URL valable uniquement pendant un laps de temps que vous définissez. Cette adresse URL limitée dans le temps peut être utile dans des scénarios tels que les téléchargements logiciels ou d'autres cas pour lesquels vous souhaitez limiter la durée d'accessibilité à un objet pour les utilisateurs. En savoir plus


Votre utilisation de ce service est soumise au Contrat client Amazon Web Services