Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment configurer mon compartiment S3 pour stocker uniquement les objets chiffrés par ma clé KMS ?

Lecture de 3 minute(s)
0

Je souhaite que mon compartiment Amazon Simple Storage Service (Amazon S3) ne stocke que les objets chiffrés par une clé AWS Key Management Service (AWS KMS) depuis mon compte AWS. Comment puis-je être sûr que seuls ces objets peuvent être chargés dans mon compartiment ?

Brève description

Utilisez le chiffrement par défaut d'Amazon S3 pour vous assurer que les objets chargés sans en-têtes de chiffrement (tels que x-amz-server-side-encryption et x-amz-server-side-encryption-aws-kms-key-id) sont chiffrés par AWS KMS avant d'être stockés dans votre compartiment S3. Utilisez ensuite la stratégie de compartiment pour vous assurer que les objets dotés d'un autre paramètre de chiffrement (AES-256) ne peuvent pas être chargés et que les objets chargés avec le chiffrement AWS KMS contiennent un ID de clé provenant de votre compte AWS.

Remarque : Pour charger un objet chiffré par une clé AWS KMS, la clé et le compartiment S3 doivent se trouver dans la même région AWS.

Résolution

Chiffrement par défaut d'Amazon S3

Suivez ces étapes pour configurer le chiffrement par défaut d'Amazon S3 pour votre compartiment sur AWS KMS à l'aide de la console Amazon S3 :

  1. Ouvrez la console Amazon S3.
  2. Choisissez le compartiment que vous souhaitez utiliser pour les objets chiffrés par AWS KMS.
  3. Sélectionnez la vue Propriétés.
  4. Choisissez Chiffrement par défaut, puis sélectionnez AWS-KMS.
  5. Sélectionnez Enregistrer.

Remarque : Pour activer le chiffrement par défaut d'Amazon S3 à l'aide de l'API REST, de l'interface de la ligne de commande AWS (AWS CLI) ou d'un kit SDK AWS, consultez la section Configuration du chiffrement par défaut.

Stratégie de compartiment

Suivez ces étapes pour configurer votre stratégie de compartiment afin de refuser les demandes de chargement qui utilisent un autre paramètre de chiffrement (AES-256) ou qui utilisent le chiffrement AWS KMS, mais contiennent un ID de clé qui ne provient pas de votre compte AWS :

  1. Ouvrez la console Amazon S3.
  2. Choisissez le compartiment que vous souhaitez utiliser pour les objets chiffrés par AWS KMS.
  3. Choisissez la vue Autorisations.
  4. Sélectionnez Stratégie de compartiment.
  5. Saisissez une stratégie de compartiment similaire à cet exemple.
    Remarque : Remplacez samplebucketname par le nom de votre compartiment et remplacez us-east-1:111122223333 par la région AWS correcte et votre ID de compte AWS.
{
    "Version": "2012-10-17",
    "Id": "PutObjPolicy",
    "Statement": [
        {
            "Sid": "DenySSE-S3",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::samplebucketname/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-server-side-encryption": "AES256"
                }
            }
        },
  {
            "Sid": "RequireKMSEncryption",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::samplebucketname/*",
            "Condition": {
                "StringNotLikeIfExists": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/*"
                }
            }
        }
    ]
}

Informations connexes

Comment Amazon Simple Storage Service (Amazon S3) utilise AWS KMS

Sujets
Storage
Balises
Amazon Simple Storage Service
Langue
Français
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents