Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Praktik terbaik enkripsi untuk Amazon S3 [Amazon Simple Storage Service (Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data. Untuk enkripsi sisi server di Amazon S3, ada tiga opsi: + [Enkripsi sisi server dengan kunci enkripsi yang dikelola Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) + [Enkripsi sisi server dengan AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) + [Enkripsi sisi server dengan kunci enkripsi yang disediakan pelanggan (SSE-C)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) Amazon S3 menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di () dan. AWS Command Line Interface AWS CLI AWS SDKs Untuk informasi selengkapnya, lihat [FAQ enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html). Jika enkripsi sisi server digunakan untuk mengenkripsi objek pada saat upload, tambahkan `x-amz-server-side-encryption` header ke permintaan untuk memberi tahu Amazon S3 untuk mengenkripsi objek menggunakan SSE-S3, SSE-KMS, atau SSE-C. Berikut ini adalah nilai yang mungkin untuk `x-amz-server-side-encryption` header: + `AES256`, yang memberitahu Amazon S3 untuk menggunakan kunci terkelola Amazon S3. + `aws:kms`, yang memberitahu Amazon S3 untuk menggunakan kunci AWS KMS terkelola. + Menetapkan nilai sebagai `True` atau `False` untuk SSE-C Untuk informasi selengkapnya, lihat *Defense-in-depth persyaratan 1: Data harus dienkripsi saat istirahat dan selama transit* di [Cara Menggunakan Kebijakan Bucket dan Terapkan Defense-in-Depth untuk Membantu Mengamankan Data Amazon S3 Anda](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/)AWS (posting blog). Untuk [enkripsi sisi klien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) di Amazon S3, ada dua opsi: + Kunci yang disimpan di AWS KMS + Kunci yang disimpan dalam aplikasi Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini: + Di AWS Config, terapkan aturan AWS terkelola [bucket-server-side-encryptionberkemampuan s3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) untuk memvalidasi dan menerapkan enkripsi bucket S3. + Menerapkan kebijakan bucket Amazon S3 yang memvalidasi bahwa semua objek yang diunggah dienkripsi menggunakan kondisi tersebut. `s3:x-amz-server-side-encryption` Untuk informasi selengkapnya, lihat contoh kebijakan bucket di [Melindungi data menggunakan SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) dan petunjuk di [Menambahkan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) kebijakan bucket. + Izinkan hanya koneksi terenkripsi melalui HTTPS (TLS) dengan menggunakan `aws:SecureTransport` kondisi pada kebijakan bucket S3. Untuk informasi selengkapnya, lihat [Kebijakan bucket S3 apa yang harus saya gunakan untuk mematuhi AWS Config aturan s3-? bucket-ssl-requests-only](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) + Di AWS Config, terapkan aturan [bucket-ssl-requests-only AWS terkelola s3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) untuk mengharuskan permintaan menggunakan SSL. + Gunakan kunci terkelola pelanggan saat Anda perlu memberikan akses lintas akun ke objek Amazon S3. Konfigurasikan kebijakan kunci untuk mengizinkan akses dari yang lain Akun AWS.