Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du chiffrement côté serveur avec des clés fournies par le client () SSE-C
Server-side le chiffrement consiste à protéger les données au repos. Server-side le chiffrement chiffre uniquement les données de l'objet, pas les métadonnées de l'objet. Vous pouvez utiliser le chiffrement côté serveur avec des clés fournies par le client (SSE-C) dans vos compartiments à usage général pour chiffrer vos données avec vos propres clés de chiffrement. Avec la clé de chiffrement que vous fournissez dans la demande, Amazon S3 gère le chiffrement des données quand il écrit sur les disques et le déchiffrement des données quand vous accédez à vos objets. Par conséquent, vous n’avez pas besoin de conserver de code pour procéder au chiffrement et déchiffrement des données. Il ne vous reste qu’à gérer les clés de chiffrement que vous fournissez.
À compter d'avril 2026, SSE-C il est désactivé par défaut pour tous les nouveaux compartiments à usage général et les compartiments existants dans les comptes ne contenant aucun SSE-C objet chiffré. La plupart des charges de travail modernes utilisent plutôt le chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3) ou des clés AWS KMS (SSE-KMS), car SSE-C vous devez fournir la clé de chiffrement à chaque demande, ce qui rend peu pratique le partage de l'accès avec d'autres utilisateurs, rôles ou AWS services qui opèrent sur vos données. Pour en savoir plus SSE-KMS, consultezUtilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS).
Si votre charge de travail l'exige SSE-C, vous devez l'activer explicitement en la définissant NONE dans BlockedEncryptionTypes la configuration de chiffrement par défaut de votre bucket à l'aide de l'PutBucketEncryptionAPI. Lorsqu' SSE-C elle est bloquée PutObject CopyObjectPostObject, toute demande de téléchargement partitionné ou de réplication spécifiant le SSE-C chiffrement est rejetée avec une AccessDenied erreur HTTP 403. Pour en savoir plus, veuillez consulter la section Blocage ou déblocage SSE-C pour un godet à usage général.
Il n'y a pas de frais supplémentaires pour l'utilisation SSE-C. Toutefois, les demandes de configuration et d'utilisation SSE-C entraînent des frais de demande standard pour Amazon S3. Pour obtenir des informations sur la tarification, consultez Tarification Amazon S3
Important
Amazon Simple Storage Service applique désormais un nouveau paramètre de sécurité des compartiments par défaut qui désactive automatiquement le chiffrement côté serveur à l'aide de clés fournies par le client (SSE-C) pour tous les nouveaux compartiments à usage général. En avril 2026, Amazon S3 a déployé une mise à jour afin que le SSE-C chiffrement de tous les nouveaux compartiments à usage général soit désactivé pour toutes les nouvelles demandes d'écriture. Pour les compartiments existants ne Comptes AWS contenant aucun objet SSE-C chiffré, Amazon S3 est également désactivé SSE-C pour toutes les nouvelles demandes d'écriture. Avec cette modification, les applications nécessitant un SSE-C chiffrement doivent être délibérément activées à SSE-C l'aide de l'opération PutBucketEncryptionAPI après avoir créé un nouveau compartiment. Pour plus d'informations sur cette modification, consultezFAQ sur les SSE-C paramètres par défaut pour les nouveaux compartiments.
Considérations avant utilisation SSE-C
-
S3 ne stocke jamais la clé de chiffrement lorsque vous l'utilisez SSE-C. Vous devez fournir la clé de chiffrement chaque fois que vous souhaitez que quelqu'un télécharge vos données SSE-C chiffrées depuis S3.
-
Vous gérez un mappage pour savoir quelle clé de chiffrement a été utilisée pour chiffrer quel objet. Vous devez assurer le suivi pour savoir quelle clé de chiffrement a été fournie pour quel objet. Cela signifie également que si vous perdez la clé de chiffrement, vous perdez l'objet.
-
Etant donné que vous gérez les clés de chiffrement du côté client, vous gérez toute sauvegarde supplémentaire, comme la rotation des clés, du côté client.
-
Cette conception peut rendre difficile le partage de votre SSE-C clé avec d'autres utilisateurs, rôles ou AWS services qui doivent opérer sur vos données. En raison du large soutien apporté à SSE-KMS across AWS, la plupart des charges de travail modernes ne sont pas utilisées SSE-C car il n'a pas la flexibilité de SSE-KMS. Pour en savoir plusSSE-KMS, consultez la section Utilisation du chiffrement côté serveur avec des clés AWS KMS () SSE-KMS.
-
Cela signifie que les objets chiffrés avec SSE-C ne peuvent pas être déchiffrés nativement par les services gérés. AWS
-
-
Vous devez utiliser le protocole HTTPS lorsque vous spécifiez SSE-C les en-têtes de vos demandes.
-
Amazon S3 rejette toutes les demandes effectuées via HTTP lors de l'utilisation SSE-C. Pour des raisons de sécurité, nous vous recommandons de considérer que toute clé que vous envoyez par erreur via HTTP est compromise. Écartez la clé et permutez comme il convient.
-
-
Si le contrôle de version de votre bucket est activé, chaque version d'objet que vous chargez peut avoir sa propre clé de chiffrement. Vous devez assurer le suivi pour savoir quelle clé de chiffrement a été utilisée pour quelle version d’objet.
-
SSE-C n'est pas pris en charge dans la console Amazon S3. Vous ne pouvez pas utiliser la console Amazon S3 pour télécharger un objet et spécifier SSE-C le chiffrement. Vous ne pouvez pas non plus utiliser la console pour mettre à jour (par exemple, modifier la classe de stockage ou ajouter des métadonnées) un objet existant stocké à l'aide de SSE-C.
-
SSE-C est bloqué par défaut pour les nouveaux compartiments. Vous devez activer explicitement SSE-C l'utilisation de l'
PutBucketEncryptionAPI avant de pouvoir télécharger des objets SSE-C chiffrés. Pour de plus amples informations, veuillez consulter Blocage ou déblocage SSE-C pour un godet à usage général.
Rubriques
