« Cette nouveauté met automatiquement en place une bonne pratique de sécurité, sans impact sur les performances et sans action requise de votre part, détaille Amazon. Les buckets (compartiments) S3 qui n’utilisent pas le chiffrement par défaut utiliseront désormais automatiquement SSE-S3 comme paramètre par défaut. Les buckets existants qui utilisent déjà le chiffrement par défaut S3 ne changeront pas ». Lancé en 2011, le chiffrement sur le serveur SSE-S3 gère tout le chiffrement, le déchiffrement et la gestion des clés de manière transparente. Pour chaque opération PUT, il génère une clé unique qui sert à chiffrer les données, puis la clé est à son tour chiffrée avec une clé principale.
Trois options de chiffrement disponibles
Les utilisateurs peuvent lancer le chiffrement en utilisant une des trois options disponibles : le chiffrement par défaut de S3 (SSE-S3, le nouveau paramètre par défaut), les clés de chiffrement fournies par le client (SSE-C) ou les clés du service de gestion des clés AWS (SSE-KMS). Pour disposer d’une couche supplémentaire de chiffrement, il est également possible de chiffrer les objets côté client, en utilisant des librairies clientes telles que le client de chiffrement Amazon S3.En pratique, l’intégration de la nouvelle fonction est d’ores et déjà visible dans le journal des événements AWS CloudTrail. Elle est visible dans la section S3 de l’AWS Management Console, Amazon S3 Inventory, Amazon S3 Storage Lens, et comme un en-tête supplémentaire dans l’AWS CLI et dans les AWS SDK au cours des prochaines semaines. Nous vous tiendrons informés et vous mettrons à disposition la documentation lorsque l’état de chiffrement sera disponible dans ces outils dans toutes les régions AWS.