Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Protection des données avec le chiffrement côté serveur **Important** Amazon Simple Storage Service applique désormais un nouveau paramètre de sécurité des compartiments par défaut qui désactive automatiquement le chiffrement côté serveur à l'aide de clés fournies par le client (SSE-C) pour tous les nouveaux compartiments à usage général. En avril 2026, Amazon S3 a déployé une mise à jour afin que le SSE-C chiffrement de tous les nouveaux compartiments à usage général soit désactivé pour toutes les nouvelles demandes d'écriture. Pour les compartiments existants ne Comptes AWS contenant aucun objet SSE-C chiffré, Amazon S3 est également désactivé SSE-C pour toutes les nouvelles demandes d'écriture. Avec cette modification, les applications nécessitant un SSE-C chiffrement doivent être délibérément activées à SSE-C l'aide de l'opération [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)API après avoir créé un nouveau compartiment. Pour plus d'informations sur cette modification, consultez[FAQ sur les SSE-C paramètres par défaut pour les nouveaux compartiments](default-s3-c-encryption-setting-faq.md). **Important** Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans les AWS SDK AWS CLI et. Pour plus d’informations, consultez la [FAQ sur le chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html). Server-side le chiffrement est le chiffrement des données à destination par l'application ou le service qui les reçoit. Amazon S3 chiffre vos données au niveau de l'objet lorsqu'il les écrit sur les disques des centres de AWS données et les déchiffre pour vous lorsque vous y accédez. Tant que vous authentifiez votre demande et que vous avez des autorisations d’accès, il n’y a aucune différence dans la manière dont vous accédez aux objets chiffrés ou déchiffrés. Par exemple, si vous partagez vos objets en utilisant une URL présignée, cette URL fonctionne de la même manière pour les objets chiffrés et déchiffrés. En outre, quand vous répertoriez les objets de votre compartiment, les opérations d’API de liste renvoient la liste de tous les objets, qu’ils soient chiffrés ou non. Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3, et tous les nouveaux objets chargés dans un compartiment S3 sont automatiquement chiffrés au repos. Server-side le chiffrement avec les clés gérées par Amazon S3 (SSE-S3) est la configuration de chiffrement par défaut pour chaque compartiment d'Amazon S3. Pour utiliser un autre type de chiffrement, vous pouvez soit spécifier le type de chiffrement côté serveur à utiliser dans vos demandes S3 `PUT`, soit actualiser la configuration du chiffrement par défaut dans le compartiment de destination. Si vous souhaitez spécifier un type de chiffrement différent dans vos `PUT` demandes, vous pouvez utiliser le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) keys (), le chiffrement double couche côté serveur avec des clés (SSE-KMS) ou le chiffrement côté serveur avec des AWS KMS clés fournies par le client (DSSE-KMS). SSE-C Si vous souhaitez définir une autre configuration de chiffrement par défaut dans le compartiment de destination, vous pouvez utiliser SSE-KMS ou DSSE-KMS. Pour plus d’informations sur la modification de la configuration du chiffrement par défaut de vos compartiments à usage général, consultez [Configuration du chiffrement par défaut](default-bucket-encryption.md). Lorsque vous modifiez la configuration de chiffrement par défaut de votre compartiment SSE-KMS, le type de chiffrement des objets Amazon S3 existants dans le compartiment n'est pas modifié. Pour modifier le type de chiffrement de vos objets préexistants après avoir mis à jour la configuration de chiffrement par défaut SSE-KMS, vous pouvez utiliser Amazon S3 Batch Operations. Vous fournissez une liste d’objets à S3 Batch Operations, qui appelle l’opération d’API correspondante. Vous pouvez utiliser cette [Copie d’objets](batch-ops-copy-object.md) action pour copier des objets existants, ce qui les réécrit dans le même compartiment que les objets SSE-KMS chiffrés. Une tâche d’opérations par lots peut effectuer l’opération spécifiée sur des milliards d’objets. Pour plus d’informations, consultez [Exécution d’opérations groupées sur des objets avec Batch Operations](batch-ops.md) et la publication [How to retroactively encrypt existing objects in Amazon S3 using S3 Inventory, Amazon Athena, and S3 Batch Operations](https://aws.amazon.com/blogs/security/how-to-retroactively-encrypt-existing-objects-in-amazon-s3-using-s3-inventory-amazon-athena-and-s3-batch-operations/) dans le *blog sur le stockage AWS *. **Note** Vous ne pouvez pas appliquer simultanément différents types de chiffrement côté serveur au même objet. Si vous devez chiffrer vos objets existants, utilisez S3 Batch Operations et S3 Inventory. Pour plus d’informations, consultez [Encrypting objects with Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/) (Chiffrement d’objets avec Amazon S3 Batch Operations) et [Exécution d’opérations groupées sur des objets avec Batch Operations](batch-ops.md). Lorsque vous stockez des données dans Amazon S3, vous avez le choix entre quatre options de chiffrement côté serveur qui s’excluent mutuellement. Votre choix dépendra de la façon dont vous décidez de gérer les clés de chiffrement et du nombre de couches de chiffrement que vous souhaitez appliquer. **Server-side chiffrement avec des clés gérées par Amazon S3 (SSE-S3)** Le chiffrement est configuré par défaut pour tous les compartiments Amazon S3. L'option par défaut pour le chiffrement côté serveur est d'utiliser les clés gérées par Amazon S3 ()SSE-S3. Chaque objet est chiffré à l’aide d’une clé unique. Comme mesure de protection supplémentaire, SSE-S3 chiffre la clé elle-même à l'aide d'une clé racine qu'elle fait régulièrement pivoter. SSE-S3 utilise l'un des chiffrements par blocs les plus puissants du marché, l'Advanced Encryption Standard (AES-256) 256 bits, pour chiffrer vos données. Pour de plus amples informations, veuillez consulter [Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 () SSE-S3](UsingServerSideEncryption.md). **Server-side chiffrement avec AWS Key Management Service (AWS KMS) clés (SSE-KMS)** Server-side le chiffrement avec AWS KMS keys (SSE-KMS) est fourni par le biais d'une intégration du AWS KMS service à Amazon S3. Avec AWS KMS, vous avez plus de contrôle sur vos clés. Par exemple, vous pouvez afficher des clés distinctes, modifier des politiques de contrôle et suivre les clés dans AWS CloudTrail. En outre, vous pouvez créer et gérer les clés gérées par le client ou utiliser les Clés gérées par AWS qui sont propres à vous-même, à votre service et à votre région. Pour de plus amples informations, veuillez consulter [Utilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS)](UsingKMSEncryption.md). **Dual-layer chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (DSSE-KMS)** Dual-layer le chiffrement côté serveur avec AWS KMS keys (DSSE-KMS) est similaire à SSE-KMS, mais il DSSE-KMS applique deux couches de AES-256 chiffrement indépendantes au lieu d'une couche : d'abord à l'aide d'une clé de chiffrement AWS KMS des données, puis à l'aide d'une clé de S3-managed chiffrement Amazon distincte. Comme les deux couches de chiffrement sont appliquées à un objet côté serveur, vous pouvez utiliser un large éventail d'outils Services AWS et d'outils pour analyser les données dans S3 tout en utilisant une méthode de chiffrement conforme aux exigences de conformité en matière de chiffrement multicouche. Pour de plus amples informations, veuillez consulter [Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)](UsingDSSEncryption.md). **Server-side chiffrement à l'aide des clés fournies par le client () SSE-C** Avec le chiffrement côté serveur avec les clés fournies par le client (SSE-C), vous gérez les clés de chiffrement, tandis qu'Amazon S3 gère le chiffrement lors de l'écriture sur les disques et le déchiffrement lorsque vous accédez à vos objets. Pour de plus amples informations, veuillez consulter [Utilisation du chiffrement côté serveur avec des clés fournies par le client () SSE-C](ServerSideEncryptionCustomerKeys.md). **Note** Lorsque vous utilisez des points d’accès pour les systèmes de fichiers Amazon FSx à l’aide de points d’accès S3, vous disposez d’une option pour le chiffrement côté serveur. Le chiffrement de tous les systèmes de fichiers Amazon FSx est configuré par défaut et ils sont chiffrés au repos à l'aide de clés gérées à l'aide de. AWS Key Management Service Les données sont automatiquement chiffrées et déchiffrées par le système de fichiers lors de leur écriture et de leur lecture dans ce dernier. Ces processus sont gérés de manière transparente par Amazon FSx.