View a markdown version of this page

Pengaturan SSE-C standar untuk bucket baru FAQ - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengaturan SSE-C standar untuk bucket baru FAQ

penting

Amazon Simple Storage Service sekarang menerapkan pengaturan keamanan bucket default baru yang secara otomatis menonaktifkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk semua bucket tujuan umum yang baru. Pada April 2026, Amazon S3 menerapkan pembaruan sehingga semua bucket tujuan umum baru menonaktifkan enkripsi SSE-C untuk semua permintaan tulis baru. Untuk bucket yang ada tanpa objek terenkripsi SSE-C, Amazon S3 juga menonaktifkan SSE-C untuk semua permintaan penulisan baru. Akun AWS Dengan perubahan ini, aplikasi yang membutuhkan enkripsi SSE-C harus sengaja mengaktifkan SSE-C dengan menggunakan operasi PutBucketEncryptionAPI setelah membuat bucket baru.

Bagian berikut menjawab pertanyaan tentang pembaruan ini.

1. Apakah pengaturan SSE-C baru berlaku untuk semua bucket yang baru dibuat?

Ya. Penyebaran ini selesai di 37 AWS Wilayah, termasuk Wilayah AWS Tiongkok dan AWS GovCloud (AS), pada April 2026.

catatan

Semua bucket yang baru dibuat di semua AWS Wilayah kecuali Timur Tengah (Bahrain) dan Timur Tengah (UEA) akan menonaktifkan SSE-C secara default.

2. Apakah Amazon S3 memperbarui konfigurasi bucket saya yang ada?

Jika AWS akun Anda tidak memiliki objek terenkripsi SSE-C, maka AWS nonaktifkan enkripsi SSE-C pada semua bucket yang ada. Jika ada bucket di AWS akun Anda yang memiliki objek terenkripsi SSE-C, maka AWS tidak mengubah konfigurasi bucket pada bucket mana pun di akun tersebut. Pengaturan default baru berlaku untuk semua bucket tujuan umum baru.

3. Bisakah saya menonaktifkan enkripsi SSE-C untuk bucket saya?

Ya. Anda dapat menonaktifkan enkripsi SSE-C untuk bucket apa pun dengan memanggil operasi PutBucketEncryptionAPI dan menentukan header baru. BlockedEncryptionTypes

4. Dapatkah saya menggunakan SSE-C untuk mengenkripsi data di bucket baru saya?

Ya. Sebagian besar kasus penggunaan modern di Amazon S3 tidak lagi menggunakan SSE-C karena tidak memiliki fleksibilitas enkripsi sisi server adalah dengan kunci terkelola Amazon S3 (SSE-S3) atau enkripsi sisi server dengan kunci KMS (SSE-KMS). AWS Jika Anda perlu menggunakan enkripsi SSE-C di bucket baru, Anda dapat membuat bucket baru dan kemudian mengaktifkan penggunaan enkripsi SSE-C dalam permintaan terpisah. PutBucketEncryption

Contoh


aws s3api create-bucket \  
bucket amzn-s3-demo-bucket \ 
region us-east-1 \ 
  
aws s3api put-bucket-encryption \  
-- bucket amzn-s3-demo-bucket \
-- server-side-encryption-configuration \
'{ \Rules\: [{   
   {   
   \ApplyServerSideEncryptionByDefault\: {   
     \SSEAlgorithm\: \AES256\,  
    },   
   \BlockedEncryptionTypes\: [  
     \EncryptionType\:\NONE\]   
   }   
   }]   
}'
catatan

Anda harus memiliki s3:PutEncryptionConfiguration izin untuk memanggil PutBucketEncryption API.

5. Bagaimana cara memblokir SSE-C memengaruhi permintaan ke bucket saya?

Ketika SSE-C diblokir untuk bucket, setiap,, PutObject CopyObjectPostObject, atau Multipart Upload atau permintaan replikasi yang menentukan enkripsi SSE-C akan ditolak dengan kesalahan HTTP 403. AccessDenied