View a markdown version of this page

Chiffrez les objets stockés par File Gateway dans Amazon S3 - AWSStorage Gateway

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrez les objets stockés par File Gateway dans Amazon S3

S3 File Gateway prend en charge les méthodes suivantes de chiffrement côté serveur pour les données stockées dans Amazon S3 :

  • SSE-S3— Par défaut, tous les nouveaux objets chargés dans des compartiments Amazon S3 utilisent le chiffrement côté serveur avec des clés gérées par Amazon S3. Pour plus d'informations, consultez la section Utilisation du chiffrement côté serveur avec les clés gérées par Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

  • SSE-KMS— Vous pouvez configurer votre partage de fichiers pour utiliser le chiffrement côté serveur avec des clés gérées AWS Key Management Service (AWS KMS). AWS KMSest un service qui combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Pour plus d'informations, voir Qu'est-ce que le service de gestion des AWS clés ? dans le Guide AWS Key Management Service du développeur.

  • DSSE-KMS— le chiffrement Dual-layer côté serveur à l'aide de AWS KMS clés applique deux couches de chiffrement aux objets lorsqu'ils sont chargés sur Amazon S3. Cela permet de respecter les normes de conformité pour le chiffrement multicouche. Pour plus d'informations, consultez la section Utilisation du chiffrement double couche côté serveur avec des AWS KMS clés dans le guide de l'utilisateur d'Amazon Simple Storage Service.

    Note

    L'utilisation DSSE-KMS et les AWS KMS clés entraînent des frais supplémentaires. Pour en savoir plus, consultez PricingAWS KMS (Tarification).

Vous pouvez spécifier une méthode de chiffrement lorsque vous créez un nouveau partage de fichiers à l'aide de la console Storage Gateway ou de l'API Storage Gateway. Pour les procédures relatives à la console, voir Création d'un partage de fichiers NFS avec une configuration personnalisée ouCréation d'un partage de fichiers SMB avec une configuration personnalisée. Pour plus d'informations sur les commandes d'API correspondantes, consultez CreateNFSFileShareou CreateSMBFileShareconsultez le AWSStorage Gateway API Reference.

Vous pouvez également mettre à jour les paramètres de chiffrement d'un partage de fichiers existant à l'aide de la console Storage Gateway ou de l'API Storage Gateway. Pour la procédure relative à la console, voirModifier la méthode de chiffrement côté serveur pour un partage de fichiers existant. Pour plus d'informations sur les commandes d'API correspondantes, consultez UpdateNFSFileShareou UpdateSMBFileShareconsultez le AWSStorage Gateway API Reference.

Note

Après avoir mis à jour la méthode de chiffrement, la passerelle utilise la nouvelle méthode pour tous les nouveaux objets qu'elle crée dans Amazon S3 et pour tous les objets stockés qu'elle met à jour ou modifie à l'avenir. Les objets Amazon S3 existants ne recevront la nouvelle méthode de chiffrement que s'ils sont mis à jour ou modifiés par la passerelle.

Important

Assurez-vous que votre partage de fichiers utilise le même type de chiffrement que le compartiment Amazon S3 dans lequel il stocke vos données.

Si vous configurez votre passerelle de fichiers pour utiliser SSE-KMS ou DSSE-KMS pour le chiffrement, vous devez ajouter manuellement kms:Encryptkms:Decrypt,kms:ReEncrypt*,kms:GenerateDataKey, et kms:DescribeKey des autorisations au rôle IAM associé au partage de fichiers. Pour plus d'informations, consultez Using Identity-Based Policies (IAM Policies) for Storage Gateway.