Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration du chiffrement par défaut
<a name="default-bucket-encryption"></a>

**Important**  
Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans les AWS SDK AWS CLI et. Pour plus d’informations, consultez la [FAQ sur le chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Le chiffrement des compartiments Amazon S3 est activé par défaut, et les nouveaux objets sont automatiquement chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (). SSE-S3 Ce chiffrement s’applique à tous les nouveaux objets de vos compartiments Amazon S3, sans frais.

Si vous avez besoin d'un contrôle accru sur vos clés de chiffrement, par exemple pour gérer la rotation des clés et l'attribution des politiques d'accès, vous pouvez choisir d'utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) keys (SSE-KMS) ou le chiffrement double couche côté serveur avec des clés (). AWS KMS DSSE-KMS Pour plus d'informations sur SSE-KMS, voir[Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS)](specifying-kms-encryption.md). Pour plus d'informations sur DSSE-KMS, voir[Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)](UsingDSSEncryption.md). 

Si vous souhaitez utiliser une clé KMS qui appartient à un autre compte, vous devez avoir l’autorisation d’utiliser la clé. Pour plus d’informations sur les autorisations intercomptes pour les clés KMS, consultez [Création de clés KMS que d’autres comptes peuvent utiliser](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) dans le *Guide du développeur AWS Key Management Service *. 

Lorsque vous définissez le chiffrement du compartiment par défaut sur SSE-KMS, vous pouvez également configurer une clé de compartiment S3 afin de réduire le coût de vos AWS KMS demandes. Pour de plus amples informations, veuillez consulter [Réduction des coûts liés SSE-KMS aux clés de compartiment Amazon S3](bucket-key.md).

**Note**  
Si vous avez l'[PutBucketEncryption](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutBucketEncryption.html)habitude de définir le chiffrement de votre compartiment par défaut sur SSE-KMS, vous devez vérifier que l'ID de votre clé KMS est correct. Amazon S3 ne valide pas l'ID de clé KMS fourni dans les PutBucketEncryption demandes.

Il n’y a pas de frais supplémentaires relatifs à l’utilisation du chiffrement par défaut pour les compartiments S3. Les demandes de configuration du comportement de chiffrement par défaut seront facturées comme des demandes Amazon S3 standard. Pour obtenir des informations sur la tarification, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/). Pour SSE-KMS et DSSE-KMS, AWS KMS des frais s'appliquent et sont indiqués dans [AWS KMS les prix](https://aws.amazon.com/kms/pricing/). 

Server-side le chiffrement à l'aide des clés fournies par le client (SSE-C) n'est pas pris en charge pour le chiffrement par défaut.

Vous pouvez configurer le chiffrement par défaut d'Amazon S3 pour un compartiment S3 à l'aide de la console Amazon S3, AWS des SDK, de l'API REST Amazon S3 et du AWS Command Line Interface (AWS CLI).

**Modifications à prendre en compte avant d’activer le chiffrement par défaut**  
Après avoir activé le chiffrement par défaut pour un compartiment, le comportement de chiffrement suivant s’applique :
+ Il n’y a pas de modification pour le chiffrement des objets qui existaient dans le compartiment avant l’activation du chiffrement par défaut. 
+ Lorsque vous chargez des objets après l’activation du chiffrement par défaut :
  + Si vos en-têtes de demandes `PUT` ne comportent pas d’informations de chiffrement, Amazon S3 utilise les paramètres de chiffrement par défaut du compartiment pour chiffrer les objets. 
  + Si vos en-têtes de demandes `PUT` comportent des informations de chiffrement, Amazon S3 utilise les informations de la demande `PUT` pour chiffrer les objets avant de les stocker dans Amazon S3.
+ Si vous utilisez l' DSSE-KMS option SSE-KMS ou pour votre configuration de chiffrement par défaut, vous êtes soumis aux quotas de demandes par seconde (RPS) de AWS KMS. Pour plus d’informations sur les quotas de AWS KMS et sur la procédure à suivre pour demander une augmentation des quotas, consultez [Quotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) dans le *Guide du développeur AWS Key Management Service *. 
+ Si ce compartiment est utilisé comme destination pour la journalisation des accès au serveur, le compartiment de destination doit utiliser les clés gérées par Amazon S3 (SSE-S3). Si le compartiment de destination utilise le chiffrement SSE-KMS par défaut, Amazon S3 peut fournir des objets de journal chiffrés avec une clé à laquelle vous ne pouvez pas accéder. Pour résoudre ce problème, remplacez le chiffrement par défaut du compartiment de destination par SSE-S3. Pour en savoir plus sur la journalisation des accès au serveur, consultez [Enregistrement de demandes avec journalisation des accès au serveur](ServerLogs.md).

**Note**  
Les objets chargés avant l’activation du chiffrement par défaut ne seront pas chiffrés. Pour plus d’informations sur le chiffrement d’objets existants, consultez [Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3](bucket-encryption.md).

## Utilisation de la console S3
<a name="bucket-encryption-how-to-set-up-console"></a>

**Pour configurer le chiffrement par défaut sur un compartiment Amazon S3**

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Dans le panneau de navigation de gauche, choisissez **Compartiments**.

1. Dans la liste **Compartiments**, choisissez le nom du compartiment que vous souhaitez utiliser. 

1. Choisissez l’onglet **Propriétés**.

1. Sous **Default encryption (Chiffrement par défaut)**, choisissez **Edit (Modifier)**.

1. Pour configurer le chiffrement, sous **Type de chiffrement**, choisissez l’une des options suivantes : 
   + **Server-side chiffrement avec des clés gérées par Amazon S3 (SSE-S3)**
   + **Server-side chiffrement avec AWS Key Management Service clés (SSE-KMS)**
   + **Dual-layer chiffrement côté serveur avec AWS Key Management Service clés () DSSE-KMS**
**Important**  
Si vous utilisez les DSSE-KMS options SSE-KMS ou pour votre configuration de chiffrement par défaut, vous êtes soumis aux quotas de demandes par seconde (RPS) de AWS KMS. Pour plus d'informations sur les AWS KMS quotas et sur la manière de demander une augmentation de quota, consultez la section [Quotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) dans le *guide du AWS Key Management Service développeur*. 

   Les compartiments et les nouveaux objets sont chiffrés par défaut avec SSE-S3, sauf si vous spécifiez un autre type de chiffrement par défaut pour vos compartiments. Pour plus d’informations sur le chiffrement par défaut, consultez [Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3](bucket-encryption.md).

   Pour en savoir plus sur l’utilisation du chiffrement côté serveur Amazon S3 pour chiffrer vos données, consultez [Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 () SSE-S3](UsingServerSideEncryption.md).

1. Si vous avez choisi **Server-side le chiffrement à l'aide de AWS Key Management Service clés (SSE-KMS)** ou le **chiffrement Dual-layer côté serveur à l'aide de AWS Key Management Service clés (DSSE-KMS)**, procédez comme suit : 

   1. Sous **CléAWS KMS **, spécifiez votre clé KMS de l’une des manières suivantes :
      + Pour choisir parmi une liste de clés KMS disponibles, **choisissez Choisir parmi vos AWS KMS keys**, puis choisissez votre **clé KMS** dans la liste des clés disponibles.

        La clé Clé gérée par AWS (`aws/s3`) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d'informations sur les clés gérées par le [client, consultez la section Clés et AWS clés](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) client dans le *Guide du AWS Key Management Service développeur*.
      + Pour saisir l’ARN de la clé KMS, choisissez **Saisir l’ARN de AWS KMS key **, puis saisissez l’ARN de votre clé KMS dans le champ qui s’affiche. 
      + Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez **Create a KMS key**.

        Pour plus d'informations sur la création d'un AWS KMS key, consultez la section [Création de clés](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) dans le *Guide du AWS Key Management Service développeur*.
**Important**  
Vous ne pouvez utiliser que les clés KMS activées au même endroit Région AWS que le bucket. Lorsque vous choisissez **Choisissez une clé parmi vos clés KMS**, la console S3 ne répertorie que 100 clés KMS par Région. Si vous avez plus de 100 clés KMS dans la même Région, vous ne pourrez voir que les 100 premières clés KMS dans la console S3. Pour utiliser une clé KMS qui ne figure pas dans la console, choisissez **Saisir l’ARN de AWS KMS key **, puis saisissez l’ARN de la clé KMS.  
Lorsque vous utilisez un AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé KMS de chiffrement symétrique. Amazon S3 prend uniquement en charge que les clés KMS de chiffrement symétriques. Pour plus d'informations sur ces clés, consultez [Clés KMS de chiffrement symétriques](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) dans le *Guide du développeur AWS Key Management Service *.

      Pour plus d'informations sur l'utilisation SSE-KMS avec Amazon S3, consultez[Utilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS)](UsingKMSEncryption.md). Pour plus d'informations sur l'utilisation DSSE-KMS, consultez[Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)](UsingDSSEncryption.md).

   1. Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut SSE-KMS, vous pouvez également activer une clé de compartiment S3. Les clés de compartiment S3 réduisent le coût du chiffrement en diminuant le trafic de demandes d'Amazon S3 vers AWS KMS. Pour de plus amples informations, veuillez consulter [Réduction des coûts liés SSE-KMS aux clés de compartiment Amazon S3](bucket-key.md).

      Pour utiliser les clés de compartiment S3, sous la **Clé de compartiment**, choisissez **Activer**.
**Note**  
Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.

1. Sélectionnez **Enregistrer les modifications**.

## Utilisation de AWS CLI
<a name="default-bucket-encryption-cli"></a>

Ces exemples vous montrent comment configurer le chiffrement par défaut à l'aide SSE-S3 ou à l' SSE-KMS aide d'une clé de compartiment S3.

Pour plus d’informations sur le chiffrement par défaut, consultez [Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3](bucket-encryption.md). Pour plus d'informations sur l'utilisation du AWS CLI pour configurer le chiffrement par défaut, consultez [put-bucket-encryption](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-encryption.html).

**Example — Chiffrement par défaut avec SSE-S3**  
Cet exemple montre comment configurer le chiffrement du compartiment par défaut avec les clés gérées par Amazon S3.  

```
aws s3api put-bucket-encryption --bucket {{amzn-s3-demo-bucket}} --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'
```

**Example — Chiffrement par défaut à SSE-KMS l'aide d'une clé de compartiment S3**  
Cet exemple configure le chiffrement par défaut des compartiments à SSE-KMS l'aide d'une clé de compartiment S3.   

```
aws s3api put-bucket-encryption --bucket {{amzn-s3-demo-bucket}} --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "{{KMS-Key-ARN}}"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'
```

## Utilisation de l'API REST
<a name="bucket-encryption-how-to-set-up-api"></a>

Utilisez l'`PutBucketEncryption`opération de l'API REST pour activer le chiffrement par défaut et pour définir le type de chiffrement côté serveur à utiliser : SSE-S3 SSE-KMS, ou. DSSE-KMS 

Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html) dans la *Référence d’API Amazon Simple Storage Service*.