FAQ sur le paramètre SSE-C par défaut pour les nouveaux buckets

Important

À compter d'avril 2026, le chiffrement côté serveur à l'aide de clés fournies par le client (SSE-C) AWS sera désactivé pour tous les nouveaux compartiments. En outre, le chiffrement SSE-C sera désactivé pour tous les compartiments existants ne Comptes AWS contenant aucune donnée chiffrée SSE-C. Avec ces modifications, les quelques applications nécessitant un chiffrement SSE-C doivent délibérément activer l'utilisation du SSE-C via l'PutBucketEncryptionAPI après avoir créé le bucket. Dans ces cas, vous devrez peut-être mettre à jour les scripts d'automatisation, les CloudFormation modèles ou d'autres outils de configuration d'infrastructure pour configurer ces paramètres. Pour plus d'informations, consultez le billet AWS de blog sur le stockage.

Les sections suivantes répondent aux questions concernant cette mise à jour.

1. En avril 2026, le nouveau paramètre SSE-C entrera-t-il en vigueur pour tous les buckets nouvellement créés ?

Oui. Au cours du mois d'avril 2026, le nouveau paramètre par défaut sera progressivement déployé dans toutes les AWS régions.

2. Combien de temps faudra-t-il avant que ce déploiement ne couvre toutes les AWS régions ?

Le déploiement de cette mise à jour prendra plusieurs semaines. Nous publierons un article Nouveautés lorsque nous commencerons à déployer cette mise à jour.

3. Comment saurai-je que la mise à jour est terminée ?

Vous pouvez facilement déterminer si la modification est terminée dans votre AWS région en créant un nouveau compartiment et en appelant l'opération GetBucketEncryptionAPI pour déterminer si le chiffrement SSE-C est désactivé. Une fois la mise à jour terminée, le chiffrement SSE-C sera automatiquement désactivé par défaut pour tous les nouveaux compartiments à usage général. Vous pouvez ajuster ces paramètres après avoir créé votre compartiment S3 en appelant l'opération PutBucketEncryptionAPI.

4. Amazon S3 mettra-t-il à jour mes configurations de compartiment existantes ?

Si votre AWS compte ne contient aucun objet chiffré SSE-C, le chiffrement SSE-C AWS sera désactivé sur tous vos buckets existants. Si l'un des compartiments de votre AWS compte contient des objets chiffrés SSE-C, la configuration des compartiments de ce compte ne AWS sera modifiée. Une fois le CreateBucket changement effectué pour votre AWS région, le nouveau paramètre par défaut s'appliquera à tous les nouveaux compartiments à usage général.

5. Puis-je désactiver le chiffrement SSE-C pour mes compartiments avant la fin de la mise à jour ?

Oui. Vous pouvez désactiver le chiffrement SSE-C pour n'importe quel compartiment en appelant l'opération PutBucketEncryptionAPI et en spécifiant le nouvel BlockedEncryptionTypes en-tête.

6. Puis-je utiliser le SSE-C pour chiffrer les données de mes nouveaux buckets ?

Oui. La plupart des cas d'utilisation modernes d'Amazon S3 n'utilisent plus le SSE-C car il n'est pas aussi flexible que le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) ou le chiffrement côté serveur avec des clés KMS (SSE-KMS). AWS Si vous devez utiliser le chiffrement SSE-C dans un nouveau compartiment, vous pouvez créer le nouveau compartiment, puis activer l'utilisation du chiffrement SSE-C dans une demande distincte. PutBucketEncryption

Exemple



aws s3api create-bucket \  
bucket amzn-s3-demo-bucket \ 
region us-east-1 \ 
  
aws s3api put-bucket-encryption \  
-- bucket amzn-s3-demo-bucket \
-- server-side-encryption-configuration \
'{ \Rules\: [{   
   {   
   \ApplyServerSideEncryptionByDefault\: {   
     \SSEAlgorithm\: \AES256\,  
    },   
   \BlockedEncryptionTypes\: [  
     \EncryptionType\:\NONE\]   
   }   
   }]   
}'

Note

Vous devez être s3:PutEncryptionConfiguration autorisé à appeler l'PutBucketEncryptionAPI.

7. Comment le blocage du SSE-C affecte-t-il les demandes adressées à mon bucket ?

Lorsque le SSE-C est bloqué pour un bucket PutObject CopyObjectPostObject, toute demande de téléchargement ou de réplication partitionné ou multipartie spécifiant le chiffrement SSE-C sera rejetée avec une erreur HTTP 403. AccessDenied

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Blocage ou déblocage du SSE-C

Utilisation du chiffrement côté client