View a markdown version of this page

Blocage ou déblocage du SSE-C pour un compartiment à usage général - Amazon Simple Storage Service
PermissionsConsidérations à prendre en compte avant de bloquer le chiffrement SSE-C

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Blocage ou déblocage du SSE-C pour un compartiment à usage général

À compter du mois d'avril 2026, Amazon S3 désactive automatiquement le chiffrement côté serveur à l'aide de clés fournies par le client (SSE-C) pour tous les nouveaux compartiments à usage général. Amazon S3 a également désactivé le SSE-C pour les compartiments existants dans les comptes ne contenant aucun objet chiffré SSE-C. Cela signifie que par défaut, les demandes de téléchargement d'objets à l'aide de SSE-C sont rejetées avec une erreur HTTP 403AccessDenied.

Le SSE-C vous oblige à fournir la clé de chiffrement à chaque demande de lecture ou d'écriture d'objets chiffrés, ce qui complique le partage de l'accès avec d'autres utilisateurs, rôles ou AWS services qui opèrent sur vos données. La plupart des charges de travail utilisent plutôt le chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3) ou des clés KMS ( AWS SSE-KMS).

Si votre charge de travail nécessite le SSE-C, vous pouvez l'activer explicitement en mettant à jour la configuration de chiffrement par défaut de votre bucket. À l'inverse, si vous avez des compartiments dans lesquels le SSE-C est toujours autorisé, vous pouvez le bloquer pour empêcher de nouveaux téléchargements SSE-C.

Lorsque le SSE-C est bloqué pour un bucket PutObject CopyObjectPostObject, toute demande de téléchargement partitionné ou de réplication spécifiant le chiffrement SSE-C sera rejetée avec une erreur HTTP 403. AccessDenied Les objets chiffrés SSE-C existants dans le compartiment ne sont pas affectés. Vous pouvez toujours les lire avec GetObject ou HeadObject en fournissant les en-têtes SSE-C requis.

Ce paramètre est un paramètre de l'PutBucketEncryptionAPI et peut également être mis à jour à l'aide de la console S3, de la AWS CLI ou AWS SDKs. Vous devez avoir l'autorisation s3:PutEncryptionConfiguration.

Important

Amazon Simple Storage Service applique désormais un nouveau paramètre de sécurité des compartiments par défaut qui désactive automatiquement le chiffrement côté serveur à l'aide de clés fournies par le client (SSE-C) pour tous les nouveaux compartiments à usage général. En avril 2026, Amazon S3 a déployé une mise à jour afin que le chiffrement SSE-C soit désactivé pour toutes les nouvelles demandes d'écriture pour tous les nouveaux compartiments à usage général. Pour les compartiments existants ne Comptes AWS contenant aucun objet chiffré SSE-C, Amazon S3 a également désactivé le SSE-C pour toutes les nouvelles demandes d'écriture. Avec cette modification, les applications nécessitant un chiffrement SSE-C doivent délibérément activer le SSE-C en utilisant l'opération d'PutBucketEncryptionAPI après avoir créé un nouveau compartiment. Pour plus d'informations sur cette modification, consultezFAQ sur le paramètre SSE-C par défaut pour les nouveaux buckets.

Permissions

Utilisez l'PutBucketEncryptionAPI AWS SDKs, la console S3 ou la AWS CLI pour bloquer ou débloquer les types de chiffrement pour un compartiment à usage général. Vous devez disposer des autorisations suivantes :

  • s3:PutEncryptionConfiguration

Utilisez l'GetBucketEncryptionAPI AWS SDKs, la console S3 ou la AWS CLI pour afficher les types de chiffrement bloqués pour un compartiment à usage général. Vous devez disposer des autorisations suivantes :

  • s3:GetEncryptionConfiguration

Considérations à prendre en compte avant de bloquer le chiffrement SSE-C

Une fois que vous avez bloqué SSE-C pour un compartiment, le comportement de chiffrement suivant s'applique :

  • Aucune modification n'a été apportée au chiffrement des objets présents dans le compartiment avant que vous ne bloquiez le chiffrement SSE-C.

  • Après avoir bloqué le chiffrement SSE-C, vous pouvez continuer à faire des HeadObject demandes sur GetObject des objets préexistants chiffrés avec SSE-C à condition de fournir les en-têtes SSE-C requis sur les demandes.

  • Lorsque le SSE-C est bloqué pour un bucket PutObject CopyObjectPostObject, toutes les demandes de téléchargement partitionné ou partitionné spécifiant le chiffrement SSE-C seront rejetées avec une erreur HTTP 403. AccessDenied

  • Si le SSE-C d'un compartiment de destination pour la réplication est bloqué et que les objets source répliqués sont chiffrés avec SSE-C, la réplication échouera avec une erreur HTTP 403. AccessDenied

Si vous souhaitez vérifier si vous utilisez le chiffrement SSE-C dans l'un de vos compartiments avant de bloquer ce type de cryptage, vous pouvez utiliser des outils tels que le contrôle de l'accès AWS CloudTrailà vos données. Ce billet de blog explique comment auditer les méthodes de chiffrement pour le téléchargement d'objets en temps réel. Vous pouvez également consulter cet article de Re:Post pour vous guider dans l'interrogation des rapports d'inventaire S3 afin de voir si vous possédez des objets chiffrés SSE-C.

Étapes

Vous pouvez bloquer ou débloquer le chiffrement côté serveur à l'aide de clés fournies par le client (SSE-C) pour un compartiment à usage général en utilisant la console Amazon S3, le () AWS Command Line Interface ,AWS CLI l'API REST Amazon S3 et. AWS SDKs

Pour bloquer ou débloquer le chiffrement SSE-C d'un compartiment à l'aide de la console Amazon S3 :

  1. Connectez-vous à la console AWS de gestion et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez des buckets à usage général.

  3. Sélectionnez le compartiment pour lequel vous souhaitez bloquer le chiffrement SSE-C.

  4. Sélectionnez l'onglet Propriétés du compartiment.

  5. Accédez au panneau des propriétés de chiffrement par défaut du compartiment et sélectionnez Modifier.

  6. Dans la section Types de chiffrement bloqués, cochez la case à côté du chiffrement côté serveur avec des clés fournies par le client (SSE-C) pour bloquer le chiffrement SSE-C ou décochez cette case pour autoriser le SSE-C.

  7. Sélectionnez Enregistrer les modifications.

Pour installer la AWS CLI, reportez-vous à la section Installation de la AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

L'exemple de CLI suivant vous montre comment bloquer ou débloquer le chiffrement SSE-C pour un bucket à usage général à l'aide du. AWS CLI Pour utiliser la commande, remplacez les user input placeholders par vos propres informations.

Demande de blocage du chiffrement SSE-C pour un bucket à usage général :

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Demande pour activer l'utilisation du chiffrement SSE-C sur un bucket à usage général :

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
SDK for Java 2.x

Les exemples suivants vous montrent comment bloquer ou débloquer les écritures de chiffrement SSE-C dans vos compartiments à usage général à l'aide du AWS SDKs

Exemple : PutBucketEncryption demande définissant la configuration de chiffrement par défaut sur SSE-S3 et bloquant le SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Exemple : PutBucketEncryption demande définissant la configuration de chiffrement par défaut sur SSE-S3 et débloquant SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
SDK for Python Boto3

Exemple : PutBucketEncryption demande définissant la configuration de chiffrement par défaut sur SSE-S3 et bloquant le SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Exemple : PutBucketEncryption demande définissant la configuration de chiffrement par défaut sur SSE-S3 et débloquant SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Pour plus d'informations sur la prise en charge par l'API REST Amazon S3 pour le blocage ou le déblocage du chiffrement SSE-C pour un compartiment à usage général, consultez la section suivante du manuel Amazon Simple Storage Service API Reference :