Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perlindungan data dan enkripsi
<a name="s3-express-data-protection"></a>

 Untuk informasi selengkapnya tentang cara mengonfigurasi enkripsi untuk bucket direktori, lihat topik berikut.

**Topics**
+ [Enkripsi di sisi server](#s3-express-ecnryption)
+ [Mengatur dan memantau enkripsi default untuk bucket direktori](s3-express-bucket-encryption.md)
+ [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket direktori](s3-express-UsingKMSEncryption.md)
+ [Enkripsi saat bergerak](#s3-express-ecnryption-transit)
+ [Penghapusan data](#s3-express-data-deletion)

## Enkripsi di sisi server
<a name="s3-express-ecnryption"></a>

Semua bucket direktori memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket direktori secara otomatis dienkripsi saat istirahat. Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket direktori. Jika Anda ingin menentukan jenis enkripsi yang berbeda, Anda dapat menggunakan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS), dengan mengatur konfigurasi enkripsi default bucket. Untuk informasi selengkapnya tentang SSE-KMS di bucket direktori, lihat. [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket direktori](s3-express-UsingKMSEncryption.md)

Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam `CreateSession` permintaan atau permintaan `PUT` objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat [Menentukan enkripsi sisi server dengan unggahan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) objek baru. AWS KMS 

SSE-KMS dengan bucket direktori berbeda dari SSE-KMS dalam bucket tujuan umum dalam aspek-aspek berikut.
+ Konfigurasi SSE-KMS Anda hanya dapat mendukung 1 [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per bucket direktori selama masa pakai bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) tidak didukung. Selain itu, setelah menentukan kunci terkelola pelanggan untuk SSE-KMS, Anda tidak dapat mengganti kunci terkelola pelanggan untuk konfigurasi SSE-KMS bucket.

  Anda dapat mengidentifikasi kunci terkelola pelanggan yang Anda tentukan untuk konfigurasi SSE-KMS bucket, dengan cara berikut:
  + Anda membuat permintaan operasi `HeadObject` API untuk menemukan nilai `x-amz-server-side-encryption-aws-kms-key-id` dalam respons Anda.

  Untuk menggunakan kunci terkelola pelanggan baru untuk data Anda, sebaiknya salin objek yang ada ke bucket direktori baru dengan kunci terkelola pelanggan baru.
+ Untuk [operasi API titik akhir Zonal (tingkat objek)](s3-express-differences.md#s3-express-differences-api-operations) kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), Anda mengautentikasi dan mengotorisasi permintaan melalui latensi rendah. [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam `CreateSession` permintaan atau permintaan `PUT` objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Kemudian, ketika sesi dibuat untuk operasi API titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE-KMS dan S3 Bucket Keys selama sesi berlangsung. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat [Menentukan enkripsi sisi server dengan unggahan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) objek baru. AWS KMS 

  Dalam panggilan API titik akhir Zonal (kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), Anda tidak dapat mengganti nilai setelan enkripsi (`x-amz-server-side-encryption`,, `x-amz-server-side-encryption-aws-kms-key-id``x-amz-server-side-encryption-context`, dan`x-amz-server-side-encryption-bucket-key-enabled`) dari permintaan. `CreateSession` Anda tidak perlu secara eksplisit menentukan nilai setelan enkripsi ini dalam panggilan API titik akhir Zonal, dan Amazon S3 akan menggunakan nilai pengaturan enkripsi dari `CreateSession` permintaan untuk melindungi objek baru di bucket direktori. 
**catatan**  
Saat Anda menggunakan AWS CLI atau AWS SDKs, for`CreateSession`, token sesi akan diperbarui secara otomatis untuk menghindari gangguan layanan saat sesi berakhir. Konfigurasi enkripsi default bucket AWS CLI atau AWS SDKs gunakan untuk `CreateSession` permintaan tersebut. Itu tidak didukung untuk mengganti nilai pengaturan enkripsi dalam `CreateSession` permintaan. Selain itu, dalam panggilan API titik akhir Zonal (kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), itu tidak didukung untuk mengganti nilai pengaturan enkripsi dari permintaan. `CreateSession` 
+ [Untuk [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), untuk mengenkripsi salinan objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Kemudian, ketika Anda menentukan pengaturan enkripsi sisi server untuk salinan objek baru dengan SSE-KMS, Anda harus memastikan kunci enkripsi adalah kunci terkelola pelanggan yang sama dengan yang Anda tentukan untuk konfigurasi enkripsi default bucket direktori. [Untuk [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), untuk mengenkripsi salinan bagian objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Anda tidak dapat menentukan setelan enkripsi sisi server untuk salinan bagian objek baru dengan SSE-KMS di header permintaan. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Selain itu, pengaturan enkripsi yang Anda berikan dalam [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)permintaan harus sesuai dengan konfigurasi enkripsi default bucket tujuan. 
+ Kunci Bucket S3 selalu diaktifkan untuk `GET` dan `PUT` beroperasi di bucket direktori dan tidak dapat dinonaktifkan. S3 Bucket Keys tidak didukung, saat Anda menyalin objek yang dienkripsi SSE-KMS dari bucket tujuan umum ke bucket direktori, dari bucket direktori ke bucket tujuan umum, atau antar-bucket direktori, melalui [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [operasi Copy dalam Operasi Batch](directory-buckets-objects-Batch-Ops.md), atau [tugas import](create-import-job.md). Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan salinan dibuat untuk objek yang dienkripsi KMS.
+ Saat Anda menentukan [kunci terkelola AWS KMS pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi di bucket direktori Anda, hanya gunakan ID kunci atau kunci ARN. Format alias kunci untuk kunci KMS tidak didukung.

Bucket direktori tidak mendukung enkripsi sisi server dua lapis dengan kunci AWS Key Management Service (AWS KMS) (DSSE-KMS), atau enkripsi sisi server dengan kunci enkripsi yang disediakan pelanggan (SSE-C).

## Enkripsi saat bergerak
<a name="s3-express-ecnryption-transit"></a>

Bucket direktori menggunakan titik akhir API Regional dan Zonal. Bergantung pada operasi Amazon S3 API yang Anda gunakan, titik akhir Regional atau Zonal diperlukan. Anda dapat mengakses titik akhir Zonal dan Regional melalui titik akhir cloud privat virtual (VPC) gateway. Tidak dikenakan biaya tambahan untuk menggunakan titik akhir gateway. Untuk mempelajari selengkapnya tentang titik akhir API Regional dan Zonal, lihat [Jaringan untuk ember direktori](s3-express-networking.md). 

## Penghapusan data
<a name="s3-express-data-deletion"></a>

Anda dapat menghapus satu atau beberapa objek langsung dari bucket direktori menggunakan konsol Amazon S3,,AWS CLI() AWS SDKs AWS Command Line Interface , atau Amazon S3 REST API. Karena semua objek dalam direktori bucket Anda dikenakan biaya penyimpanan, sebaiknya hapus objek yang tidak lagi diperlukan.

Menghapus objek yang disimpan dalam sebuah bucket direktori juga secara rekursif menghapus setiap direktori induk, jika direktori induk tersebut tidak berisi objek lain selain objek yang sedang dihapus.

**catatan**  
Penghapusan autentikasi multi-faktor (MFA) dan Penentuan Versi S3 tidak didukung untuk S3 Express One Zone.