Qu'arrive-t-il aux objets nouveaux ou existants lorsque j'active le chiffrement par défaut avec AWS KMS sur mon compartiment Amazon S3 ?

Résolution

Une fois que vous avez activé le chiffrement AWS KMS par défaut sur votre compartiment, Amazon S3 applique le chiffrement uniquement aux objets récemment chargés sans aucun paramètre de chiffrement.

Le chiffrement par défaut des compartiments ne modifie pas les paramètres de chiffrement des objets existants. Par exemple, si vous activez le chiffrement côté serveur avec AWS KMS (SSE-KMS) sur le compartiment, tous les objets non chiffrés qui se trouvent déjà dans le compartiment restent non chiffrés. De plus, tous les objets déjà chiffrés via SSE-KMS, SSE-S3 ou SSE-C restent chiffrés dans leur clé respective.

Le chiffrement par défaut du compartiment ne remplace pas non plus les paramètres de chiffrement que vous spécifiez lors du chargement d'un nouvel objet. Par exemple, si vous spécifiez le chiffrement AES256 dans votre requête PutObject vers un compartiment avec le chiffrement SSE-KMS par défaut, l'objet conserve le chiffrement AES256 (SSE-S3).

Si votre compartiment est doté d'un chiffrement par défaut mais que des objets récemment chargés présentent des paramètres de chiffrement différents, consultez les journaux d'événements liés aux données d'AWS CloudTrail. Les journaux des requêtes d'API PUT, POST et InitiateMultipartUpload comportent un champ SSEApplied. Si la valeur de ce champ est Default_SSE_S3 ou Default_SSE_KMS, l'objet est chiffré par défaut. Si la valeur est SSE_S3 ou SSE_KMS, l'objet spécifie les paramètres de chiffrement dans la demande PutObject.

Remarque : Pour obliger les utilisateurs à charger des objets avec SSE-KMS, utilisez une politique de compartiment, une politique de point d'accès ou une politique de contrôle des services d'AWS Organizations.