View a markdown version of this page

Utilisation du chiffrement côté serveur avec les clés fournies par le client (SSE-C) - Amazon Simple Storage Service
Considérations à prendre en compte avant d'utiliser SSE-C

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du chiffrement côté serveur avec les clés fournies par le client (SSE-C)

Le chiffrement côté serveur consiste à protéger les données au repos. Un chiffrement côté serveur chiffre uniquement les données d’objet, pas les métadonnées d’objet. Vous pouvez utiliser le chiffrement côté serveur avec des clés fournies par le client (SSE-C) dans vos compartiments à usage général pour chiffrer vos données avec vos propres clés de chiffrement. Avec la clé de chiffrement que vous fournissez dans la demande, Amazon S3 gère le chiffrement des données quand il écrit sur les disques et le déchiffrement des données quand vous accédez à vos objets. Par conséquent, vous n’avez pas besoin de conserver de code pour procéder au chiffrement et déchiffrement des données. Il ne vous reste qu’à gérer les clés de chiffrement que vous fournissez.

À compter d'avril 2026, le SSE-C est désactivé par défaut pour tous les nouveaux compartiments à usage général et les compartiments existants dans les comptes ne contenant aucun objet chiffré SSE-C. La plupart des charges de travail modernes utilisent plutôt le chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3) ou des clés AWS KMS (SSE-KMS), car le SSE-C vous oblige à fournir la clé de chiffrement à chaque demande, ce qui rend peu pratique le partage de l'accès avec d'autres utilisateurs, rôles ou services qui opèrent sur vos données. AWS Pour en savoir plus sur SSE-KMS, consultez. Utilisation du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS)

Si votre charge de travail nécessite le SSE-C, vous devez l'activer explicitement en le définissant NONE dans la configuration BlockedEncryptionTypes de chiffrement par défaut de votre bucket à l'aide de l'PutBucketEncryptionAPI. Lorsque le SSE-C est bloqué PutObject CopyObjectPostObject, toute demande de téléchargement partitionné ou de réplication spécifiant le chiffrement SSE-C est rejetée avec une erreur HTTP 403. AccessDenied Pour en savoir plus, veuillez consulter la section Blocage ou déblocage du SSE-C pour un compartiment à usage général.

Aucuns frais supplémentaires ne s’appliquent à l’utilisation du chiffrement SSE-C. Toutefois, les demandes de configuration et d’utilisation du chiffrement SSE-C entraînent des frais de demande Amazon S3 standard. Pour obtenir des informations sur la tarification, consultez Tarification Amazon S3.

Important

Amazon Simple Storage Service applique désormais un nouveau paramètre de sécurité des compartiments par défaut qui désactive automatiquement le chiffrement côté serveur à l'aide de clés fournies par le client (SSE-C) pour tous les nouveaux compartiments à usage général. En avril 2026, Amazon S3 a déployé une mise à jour afin que le chiffrement SSE-C soit désactivé pour toutes les nouvelles demandes d'écriture pour tous les nouveaux compartiments à usage général. Pour les compartiments existants ne Comptes AWS contenant aucun objet chiffré SSE-C, Amazon S3 a également désactivé le SSE-C pour toutes les nouvelles demandes d'écriture. Avec cette modification, les applications nécessitant un chiffrement SSE-C doivent délibérément activer le SSE-C en utilisant l'opération d'PutBucketEncryptionAPI après avoir créé un nouveau compartiment. Pour plus d'informations sur cette modification, consultezFAQ sur le paramètre SSE-C par défaut pour les nouveaux buckets.

Considérations à prendre en compte avant d'utiliser SSE-C

  • S3 ne stocke jamais la clé de chiffrement lorsque vous utilisez SSE-C. Vous devez fournir la clé de chiffrement chaque fois que vous souhaitez que quelqu'un télécharge vos données chiffrées SSE-C depuis S3.

    • Vous gérez un mappage pour savoir quelle clé de chiffrement a été utilisée pour chiffrer quel objet. Vous devez assurer le suivi pour savoir quelle clé de chiffrement a été fournie pour quel objet. Cela signifie également que si vous perdez la clé de chiffrement, vous perdez l'objet.

    • Etant donné que vous gérez les clés de chiffrement du côté client, vous gérez toute sauvegarde supplémentaire, comme la rotation des clés, du côté client.

    • Cette conception peut rendre difficile le partage de votre clé SSE-C avec d'autres utilisateurs, rôles ou AWS services qui doivent opérer sur vos données. En raison de la prise en charge généralisée du SSE-KMS AWS, la plupart des charges de travail modernes n'utilisent pas le SSE-C car celui-ci n'est pas aussi flexible que le SSE-KMS. Pour en savoir plus sur le SSE-KMS, voir Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS).

    • Cela signifie que les objets chiffrés avec SSE-C ne peuvent pas être déchiffrés nativement par les services gérés. AWS

  • Vous devez utiliser le protocole HTTPS lorsque vous spécifiez les en-têtes SSE-C pour vos demandes.

    • Amazon S3 rejette toute demande faite via HTTP lors de l’utilisation du chiffrement SSE-C. Pour des raisons de sécurité, nous vous recommandons de considérer toute clé que vous envoyez par erreur via HTTP comme compromise. Écartez la clé et permutez comme il convient.

  • Si le contrôle de version de votre bucket est activé, chaque version d'objet que vous chargez peut avoir sa propre clé de chiffrement. Vous devez assurer le suivi pour savoir quelle clé de chiffrement a été utilisée pour quelle version d’objet.

  • Le SSE-C n'est pas pris en charge dans la console Amazon S3. Vous ne pouvez pas utiliser la console Amazon S3 pour télécharger un objet et spécifier le chiffrement SSE-C. Vous pouvez également utiliser la console pour mettre à jour (par exemple, modifier la classe de stockage ou ajouter des métadonnées) un objet existant stocké grâce aux clés SSE-C.

  • Le SSE-C est bloqué par défaut pour les nouveaux buckets. Vous devez activer explicitement le SSE-C à l'aide de l'PutBucketEncryptionAPI avant de pouvoir télécharger des objets avec le chiffrement SSE-C. Pour de plus amples informations, veuillez consulter Blocage ou déblocage du SSE-C pour un compartiment à usage général.

Rubriques