View a markdown version of this page

Memblokir atau membuka blokir SSE-C untuk bucket tujuan umum - Amazon Simple Storage Service
IzinPertimbangan sebelum memblokir enkripsi SSE-C

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memblokir atau membuka blokir SSE-C untuk bucket tujuan umum

Mulai April 2026, Amazon S3 secara otomatis menonaktifkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk semua bucket tujuan umum baru. Amazon S3 juga menonaktifkan SSE-C untuk bucket yang ada di akun tanpa objek terenkripsi SSE-C. Ini berarti bahwa secara default, permintaan untuk mengunggah objek menggunakan SSE-C ditolak dengan kesalahan HTTP 403AccessDenied.

SSE-C mengharuskan Anda untuk menyediakan kunci enkripsi dengan setiap permintaan untuk membaca atau menulis objek terenkripsi, sehingga sulit untuk berbagi akses dengan pengguna, peran, atau AWS layanan lain yang beroperasi pada data Anda. Sebagian besar beban kerja menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau kunci KMS (SSE-KMS) sebagai gantinya. AWS

Jika beban kerja Anda memerlukan SSE-C, Anda dapat mengaktifkannya secara eksplisit dengan memperbarui konfigurasi enkripsi default untuk bucket Anda. Sebaliknya, jika Anda memiliki bucket yang sudah ada di mana SSE-C masih diizinkan, Anda dapat memblokirnya untuk mencegah unggahan SSE-C baru.

Ketika SSE-C diblokir untuk bucket, setiap,, PutObjectCopyObject, Multipart UploadPostObject, atau permintaan replikasi yang menentukan enkripsi SSE-C akan ditolak dengan kesalahan HTTP 403. AccessDenied Objek terenkripsi SSE-C yang ada di bucket tidak terpengaruh, Anda masih dapat membacanya dengan GetObject atau HeadObject dengan menyediakan header SSE-C yang diperlukan.

Pengaturan ini adalah parameter pada PutBucketEncryption API dan juga dapat diperbarui menggunakan konsol S3, AWS CLI, atau. AWS SDKs Anda harus memiliki s3:PutEncryptionConfiguration izin.

penting

Amazon Simple Storage Service sekarang menerapkan pengaturan keamanan bucket default baru yang secara otomatis menonaktifkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk semua bucket tujuan umum yang baru. Pada April 2026, Amazon S3 menerapkan pembaruan sehingga semua bucket tujuan umum baru menonaktifkan enkripsi SSE-C untuk semua permintaan tulis baru. Untuk bucket yang ada tanpa objek terenkripsi SSE-C, Amazon S3 juga menonaktifkan SSE-C untuk semua permintaan penulisan baru. Akun AWS Dengan perubahan ini, aplikasi yang membutuhkan enkripsi SSE-C harus sengaja mengaktifkan SSE-C dengan menggunakan operasi PutBucketEncryptionAPI setelah membuat bucket baru. Untuk informasi lebih lanjut tentang perubahan ini, lihatPengaturan SSE-C standar untuk bucket baru FAQ.

Izin

Gunakan PutBucketEncryption API atau Konsol S3 AWS SDKs, atau AWS CLI untuk memblokir atau membuka blokir jenis enkripsi untuk bucket tujuan umum. Anda harus memiliki izin berikut:

  • s3:PutEncryptionConfiguration

Gunakan GetBucketEncryption API atau Konsol S3 AWS SDKs, atau AWS CLI untuk melihat jenis enkripsi yang diblokir untuk bucket tujuan umum. Anda harus memiliki izin berikut:

  • s3:GetEncryptionConfiguration

Pertimbangan sebelum memblokir enkripsi SSE-C

Setelah Anda memblokir SSE-C untuk bucket apa pun, perilaku enkripsi berikut akan berlaku:

  • Tidak ada perubahan pada enkripsi objek yang ada di bucket sebelum Anda memblokir enkripsi SSE-C.

  • Setelah Anda memblokir enkripsi SSE-C, Anda dapat terus membuat GetObject dan HeadObject meminta objek yang sudah ada sebelumnya yang dienkripsi dengan SSE-C selama Anda memberikan header SSE-C yang diperlukan pada permintaan.

  • Ketika SSE-C diblokir untuk bucket, permintaan UnggahanPutObject,, CopyObjectPostObject, atau Multipart apa pun yang menentukan enkripsi SSE-C akan ditolak dengan kesalahan HTTP 403. AccessDenied

  • Jika bucket tujuan untuk replikasi telah diblokir SSE-C dan objek sumber yang direplikasi dienkripsi dengan SSE-C, replikasi akan gagal dengan kesalahan HTTP 403. AccessDenied

Jika Anda ingin meninjau apakah Anda menggunakan enkripsi SSE-C di salah satu bucket Anda sebelum memblokir jenis enkripsi ini, Anda dapat menggunakan alat seperti AWS CloudTrailuntuk memantau akses ke data Anda. Posting blog ini menunjukkan kepada Anda cara mengaudit metode enkripsi untuk unggahan objek secara real time. Anda juga dapat mereferensikan artikel re:Post ini untuk memandu Anda melalui laporan Inventaris S3 kueri untuk melihat apakah Anda memiliki objek terenkripsi SSE-C.

Langkah-langkah

Anda dapat memblokir atau membuka blokir enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk bucket tujuan umum dengan menggunakan konsol Amazon S3, (), Amazon S3 REST API AWS Command Line Interface ,AWS CLI dan. AWS SDKs

Untuk memblokir atau membuka blokir enkripsi SSE-C untuk bucket menggunakan konsol Amazon S3:

  1. Masuk ke Konsol AWS Manajemen dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi kiri, pilih ember tujuan umum.

  3. Pilih bucket yang ingin Anda blokir untuk enkripsi SSE-C.

  4. Pilih tab Properties untuk bucket.

  5. Arahkan ke panel properti Enkripsi Default untuk bucket dan pilih Edit.

  6. Di bagian Jenis enkripsi yang diblokir, centang kotak di sebelah Enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk memblokir enkripsi SSE-C atau hapus centang pada kotak ini untuk mengizinkan SSE-C.

  7. Pilih Simpan Perubahan.

Untuk menginstal AWS CLI, lihat Menginstal AWS CLI di Panduan Pengguna.AWS Command Line Interface

Contoh CLI berikut menunjukkan cara memblokir atau membuka blokir enkripsi SSE-C untuk bucket tujuan umum dengan menggunakan file. AWS CLI Untuk menggunakan perintah ganti user input placeholders dengan informasi Anda sendiri.

Permintaan untuk memblokir enkripsi SSE-C untuk bucket tujuan umum:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Permintaan untuk mengaktifkan penggunaan enkripsi SSE-C pada bucket tujuan umum:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
SDK for Java 2.x

Contoh berikut menunjukkan kepada Anda cara memblokir atau membuka blokir enkripsi SSE-C menulis ke bucket tujuan umum Anda dengan menggunakan AWS SDKs

Contoh - PutBucketEncryption permintaan pengaturan konfigurasi enkripsi default ke SSE-S3 dan memblokir SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Contoh - PutBucketEncryption permintaan pengaturan konfigurasi enkripsi default ke SSE-S3 dan membuka blokir SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
SDK for Python Boto3

Contoh - PutBucketEncryption permintaan pengaturan konfigurasi enkripsi default ke SSE-S3 dan memblokir SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Contoh - PutBucketEncryption permintaan pengaturan konfigurasi enkripsi default ke SSE-S3 dan membuka blokir SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Untuk informasi tentang dukungan Amazon S3 REST API untuk memblokir atau membuka blokir enkripsi SSE-C untuk bucket tujuan umum, lihat bagian berikut di Referensi API Layanan Penyimpanan Sederhana Amazon: