Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)
L'utilisation du chiffrement double couche côté serveur avec AWS Key Management Service (AWS KMS) keys (DSSE-KMS) applique deux couches de chiffrement aux objets lorsqu'ils sont chargés sur Amazon S3. DSSE-KMS vous permet de respecter plus facilement les normes de conformité qui vous obligent à appliquer un chiffrement multicouche à vos données et à avoir le contrôle total de vos clés de chiffrement.
Le « double » in DSSE-KMS fait référence à deux couches de AES-256 chiffrement indépendantes appliquées à vos données :
Première couche : Vos données sont cryptées à l'aide d'une clé de chiffrement des données (DEK) unique générée par AWS KMS
Deuxième couche : les données déjà chiffrées sont chiffrées à nouveau à l'aide d'une clé de AES-256 chiffrement distincte gérée par Amazon S3
Cela diffère de la norme SSE-KMS, qui n'applique qu'une seule couche de cryptage. La double couche améliore la sécurité en offrant la garantie que, même si une couche de chiffrement était compromise, vos données resteraient protégées par la deuxième couche. Cette sécurité supplémentaire s'accompagne d'une augmentation de la charge de traitement et des appels d' AWS KMS API, ce qui explique le coût plus élevé par rapport à la norme SSE-KMS. Pour plus d'informations sur la DSSE-KMS tarification, consultez AWS KMS key les concepts du guide du AWS Key Management Service développeur et AWS KMS les tarifs
Lorsque vous l'utilisez DSSE-KMS avec un compartiment Amazon S3, les AWS KMS clés doivent se trouver dans la même région que le compartiment. De plus, lorsqu'un objet DSSE-KMS est demandé, le checksum S3 qui fait partie des métadonnées de l'objet est stocké sous forme cryptée. Pour en savoir plus sur le total de contrôle, consultez Vérification de l’intégrité des objets dans Amazon S3.
Note
Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.
Les principales différences entre DSSE-KMS et standard SSE-KMS sont les suivantes :
Couches de chiffrement : DSSE-KMS applique deux couches de AES-256 chiffrement indépendantes, tandis que la norme SSE-KMS applique une couche
Sécurité : DSSE-KMS fournit une protection améliorée contre les vulnérabilités de chiffrement potentielles
Conformité : DSSE-KMS aide à répondre aux exigences réglementaires qui imposent le chiffrement multicouche
Performances : DSSE-KMS latence légèrement plus élevée en raison d'un traitement de chiffrement supplémentaire
Coût : DSSE-KMS entraîne des frais plus élevés en raison de l'augmentation des frais de calcul et des opérations supplémentaires AWS KMS
Nécessite un chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS)
Pour exiger un chiffrement double couche côté serveur de tous les objets contenus dans un compartiment Amazon S3 déterminé, vous pouvez utiliser une stratégie de compartiment. Par exemple, la politique de compartiment suivante refuse l'autorisation upload object (s3:PutObject) à tout le monde si la demande n'inclut pas d'x-amz-server-side-encryptionen-tête demandant un chiffrement côté serveur avec. DSSE-KMS