Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3

PDF
RSS
Mode de mise au point
Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3 - Amazon Simple Storage Service
Utilisation du chiffrement SSE-KMS pour les opérations intercomptesUtilisation du chiffrement par défaut avec la réplicationUtilisation des clés de compartiment Amazon S3 avec chiffrement par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS Command Line Interface et AWS SDKs. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.

Tous les compartiments Amazon S3 ont le chiffrement configuré par défaut et les objets sont automatiquement chiffrés à l’aide du chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Ce paramètre de chiffrement s’applique à tous les objets de vos compartiments Amazon S3.

Si vous avez besoin d'un contrôle accru sur vos clés, par exemple pour gérer la rotation des clés et les autorisations de politique d'accès, vous pouvez choisir d'utiliser le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou le chiffrement côté serveur à double couche avec clés (DSSE-KMS). AWS KMS Pour en savoir plus sur la modification des clés KMS, consultez Modification des clés dans le Guide du développeur AWS Key Management Service .

Note

Nous avons modifié les compartiments afin de chiffrer automatiquement les nouveaux chargements d’objets. Si vous avez déjà créé un compartiment sans chiffrement par défaut, Amazon S3 activera le chiffrement par défaut pour le compartiment à l’aide de SSE-S3. Aucune modification ne sera apportée à la configuration de chiffrement par défaut d’un compartiment existant pour lequel le chiffrement SSE-S3 ou SSE-KMS est déjà configuré. Si vous souhaitez chiffrer vos objets avec SSE-KMS, vous devez modifier le type de chiffrement dans les paramètres de votre compartiment. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS).

Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE-KMS, vous pouvez également activer les clés de compartiment S3 afin de réduire le trafic de demandes en provenance d'Amazon S3 AWS KMS et de réduire le coût du chiffrement. Pour de plus amples informations, veuillez consulter Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

Pour identifier les compartiments dont le chiffrement par défaut est activé par SSE-KMS, vous pouvez utiliser les métriques Amazon S3 Storage Lens. S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets. Pour plus d’informations, consultez Utilisation de S3 Storage Lens pour protéger vos données.

Lorsque vous utilisez le chiffrement côté serveur, Amazon S3 chiffre un objet avant de l’enregistrer sur disque et le déchiffre lorsque vous téléchargez l’objet. Pour plus d’informations sur la protection des données à l’aide du chiffrement côté serveur et de la gestion des clés de chiffrement, consultez Protection des données avec le chiffrement côté serveur.

Pour plus d'informations sur les autorisations requises pour le chiffrement par défaut, voir PutBucketEncryptiondans le manuel Amazon Simple Storage Service API Reference.

Vous pouvez configurer le comportement de chiffrement par défaut d'Amazon S3 pour un compartiment S3 à l'aide de la console Amazon S3, de l'API REST Amazon S3 et de l'interface de ligne de AWS commande (AWS CLI). AWS SDKs

Chiffrement des objets existants

Pour chiffrer vos objets Amazon S3 non chiffrés existants, vous pouvez utiliser des opérations par lot Amazon S3. Vous fournissez à la fonctionnalité d’opérations par lots S3 une liste d’objets sur lesquels agir. La fonctionnalité d’opérations par lots appelle l’API correspondante pour exécuter l’opération spécifiée. Vous pouvez utiliser l’opération de copie des opérations par lot pour copier des objets non chiffrés et les réécrire dans le même compartiment en tant qu’objets chiffrés. Une tâche d’opérations par lots peut effectuer l’opération spécifiée sur des milliards d’objets. Pour plus d’informations, consultez Exécution d’opérations groupées sur des objets avec les opérations par lot et le billet de blog sur le stockage AWS intitulé Encrypting objects with Amazon S3 Batch Operations.

Vous pouvez également chiffrer des objets existants à l'aide de l'opération CopyObject API ou de la copy-object AWS CLI commande. Pour plus d’informations, consultez le billet de blog sur le stockage AWS intitulé Encrypting existing Amazon S3 objects with the AWS CLI.

Note

Les compartiments Amazon S3 pour lesquels le chiffrement de compartiment par défaut est défini sur SSE-KMS ne peuvent pas servir de compartiments de destination pour Enregistrement de demandes avec journalisation des accès au serveur. Seul le chiffrement par défaut SSE-S3 est pris en charge pour les compartiments de destination du journal d’accès au serveur.

Utilisation du chiffrement SSE-KMS pour les opérations intercomptes

Tenez compte des éléments suivants lors de l’utilisation du chiffrement pour les opérations inter-comptes :

  • Si aucun nom de ressource AWS KMS key Amazon (ARN) ou alias n'est fourni au moment de la demande ou via la configuration de chiffrement par défaut du bucket, le Clé gérée par AWS (aws/s3) est utilisé.

  • Si vous téléchargez ou accédez à des objets S3 à l'aide de principes AWS Identity and Access Management (IAM) identiques Compte AWS à ceux de votre clé KMS, vous pouvez utiliser le Clé gérée par AWS (). aws/s3

  • Utilisez une clé gérée par le client si vous souhaitez accorder un accès intercompte à vos objets S3. Vous pouvez configurer la politique d’une clé gérée par le client afin d’autoriser l’accès à partir d’un autre compte.

  • Si vous spécifiez une clé KMS gérée par le client, nous recommandons d’utiliser un ARN de clé KMS complet. Si vous utilisez plutôt un alias de clé KMS, AWS KMS la clé est résolue dans le compte du demandeur. En raison de ce comportement, les données peuvent être chiffrées avec une clé KMS qui appartient au demandeur, et non au propriétaire du compartiment.

  • Vous devez spécifier une clé pour laquelle vous (le demandeur) avez obtenu l’autorisation de Encrypt. Pour en savoir plus, consultez Permettre aux utilisateurs de clés d'utiliser une clé KMS pour les opérations de chiffrement dans le Guide de l'utilisateur AWS Key Management Service .

Pour plus d'informations sur les circonstances dans lesquelles utiliser des clés gérées par le client et des clés KMS AWS gérées, consultez Dois-je utiliser une clé gérée par le client Clé gérée par AWS ou une clé gérée par le client pour chiffrer mes objets dans Amazon S3 ?

Utilisation du chiffrement par défaut avec la réplication

Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s’applique :

  • Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l’aide des paramètres de chiffrement par défaut du compartiment de destination. Par conséquent, les étiquettes d'entité (ETags) des objets source sont différentes de celles ETags des objets répliqués. Si certaines applications l'utilisent ETags, vous devez les mettre à jour pour tenir compte de cette différence.

  • Si les objets du compartiment source sont chiffrés à l'aide d'un chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3), d'un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou d'un chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS), les objets répliques du compartiment de destination utilisent le même type de chiffrement que les objets source. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.

Pour plus d’informations sur l’utilisation du chiffrement par défaut avec SSE-KMS, consultez Réplication d’objets chiffrés.

Utilisation des clés de compartiment Amazon S3 avec chiffrement par défaut

Lorsque vous configurez votre compartiment pour utiliser SSE-KMS comme le comportement de chiffrement par défaut sur de nouveaux objets, vous pouvez également configurer des clés de compartiment S3. Les clés de compartiment S3 réduisent le nombre de transactions depuis Amazon S3 AWS KMS afin de réduire le coût du SSE-KMS.

Lorsque vous configurez votre compartiment pour utiliser les clés de compartiment S3 pour SSE-KMS sur de nouveaux objets, il AWS KMS génère une clé au niveau du compartiment qui est utilisée pour créer une clé de données unique pour les objets du compartiment. Cette clé de compartiment S3 est utilisée pendant une période limitée dans le temps dans Amazon S3, ce qui réduit la nécessité pour Amazon S3 de faire des demandes AWS KMS pour effectuer des opérations de chiffrement.

Pour plus d’informations sur l’utilisation des clés de compartiment S3, consultez Utilisation de clés de compartiment Amazon S3..

Sur cette page

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.