View a markdown version of this page

Protection des données en transit grâce au chiffrement - Amazon Simple Storage Service
Support des protocoles TLS 1.2 et TLS 1.3Surveillance de l'utilisation du protocole TLSAppliquer le chiffrement pendant le transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données en transit grâce au chiffrement

Amazon S3 prend en charge les protocoles HTTP et HTTPS pour la transmission de données. Le protocole HTTP transmet les données en texte brut, tandis que le protocole HTTPS ajoute une couche de sécurité en chiffrant les données à l'aide du protocole TLS (Transport Layer Security). Le protocole TLS protège contre l'écoute, la falsification des données et les attaques de type « man-in-the-middle ». Bien que le trafic HTTP soit accepté, la plupart des implémentations utilisent le chiffrement en transit avec HTTPS et TLS pour protéger les données lors de leur transfert entre les clients et Amazon S3.

Support des protocoles TLS 1.2 et TLS 1.3

Amazon S3 prend en charge les protocoles TLS 1.2 et TLS 1.3 pour les connexions HTTPS sur tous les points de terminaison d'API pour tous. Régions AWS S3 négocie automatiquement la meilleure protection TLS prise en charge par votre logiciel client et le point de terminaison S3 auquel vous accédez. Les AWS outils actuels (2014 ou versions ultérieures), y compris les AWS kits de développement logiciel, utilisent AWS CLI automatiquement TLS 1.3 par défaut, sans aucune action de votre part. Vous pouvez annuler cette négociation automatique par le biais des paramètres de configuration du client afin de spécifier une version TLS particulière si une rétrocompatibilité avec TLS 1.2 est requise. Lorsque vous utilisez TLS 1.3, vous pouvez éventuellement configurer un échange de clés post-quantique hybride (ML-KEM) pour envoyer des requêtes résistantes aux quanta à Amazon S3. Pour de plus amples informations, veuillez consulter Configuration du protocole TLS post-quantique hybride pour votre client.

Note

Le protocole TLS 1.3 est pris en charge sur tous les points de terminaison S3, à l' AWS PrivateLink exception d'Amazon S3 et des points Multi-Region d'accès.

Surveillance de l'utilisation du protocole TLS

Vous pouvez utiliser les journaux d'accès au serveur Amazon S3 ou AWS CloudTrail pour surveiller les demandes adressées aux compartiments Amazon S3. Les deux options de journalisation enregistrent la version TLS et la suite de chiffrement utilisées dans chaque demande.

  • Journaux d'accès au serveur Amazon S3 — La journalisation des accès au serveur fournit des enregistrements détaillés des demandes adressées à un compartiment. Par exemple, les informations des journaux d’accès peuvent s’avérer utiles en cas d’audit de sécurité ou d’audit des accès. Pour de plus amples informations, veuillez consulter Format des journaux d’accès au serveur Amazon S3.

  • AWS CloudTrailAWS CloudTrailest un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service. CloudTrail capture tous les appels d'API pour Amazon S3 sous forme d'événements. Pour de plus amples informations, veuillez consulter CloudTrail Événements Amazon S3.

Appliquer le chiffrement pendant le transit

L'une des meilleures pratiques de sécurité consiste à appliquer le chiffrement des données en transit vers Amazon S3. Vous pouvez renforcer la HTTPS-only communication ou l'utilisation d'une version TLS spécifique par le biais de divers mécanismes de politique. Il s'agit notamment des politiques basées sur les ressources IAM pour les compartiments S3 (politiques de compartiment), des politiques de contrôle des services (SCP), des politiques de contrôle des ressources (RCP) et des politiques de point de terminaison VPC.

Exemples de politiques relatives aux compartiments pour appliquer le chiffrement en transit

Vous pouvez utiliser la clé de condition S3 s3:TlsVersion pour restreindre l'accès aux compartiments Amazon S3 en fonction de la version TLS utilisée par le client. Pour de plus amples informations, veuillez consulter Exemple 6 : Exiger une version minimale de TLS.

Exemple politique de compartiment appliquant le protocole TLS 1.3 à l'aide de la clé de condition S3:TlsVersion
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyInsecureConnections",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket1/*"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": "1.3"
        }
      }
    }
  ]
}

Vous pouvez utiliser la clé de condition aws:SecureTransport globale figurant dans votre politique de compartiment S3 pour vérifier si la demande a été envoyée via HTTPS (TLS). Contrairement à l'exemple précédent, cette condition ne vérifie pas une version spécifique de TLS. Pour de plus amples informations, veuillez consulter Restreindre l’accès aux seules requêtes HTTPS.

Exemple politique de bucket appliquant le protocole HTTPS à l'aide de la clé de condition SecureTransport globale aws :
{
    "Version":"2012-10-17",
    "Statement": [
     {
        "Sid": "RestrictToTLSRequestsOnly",
        "Action": "s3:*",
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1",
            "arn:aws:s3:::amzn-s3-demo-bucket1/*"
        ],
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "false"
            }
        },
        "Principal": "*"
    }
  ]
}
Exemple de politique basé à la fois sur des clés et d'autres exemples

Dans les exemples précédents, vous pouvez utiliser les deux types de clés de condition dans une seule politique. Pour plus d'informations et des approches d'application supplémentaires, consultez l'article du blog sur le AWS stockage Enforcing encryption in transit with TLS1.2 or higher with Amazon S3.