新しいバケットの SSE-C 設定に関するよくある質問
重要
Amazon Simple Storage Service では、すべての新しい汎用バケットについて、お客様が用意したキーによるサーバー側の暗号化 (SSE-C) を自動的に無効にする新しいデフォルトのバケットセキュリティ設定が適用されるようになりました。2026 年 4 月、Amazon S3 は更新をデプロイし、すべての新しい汎用バケットで、すべての新しい書き込みリクエストに対して SSE-C 暗号化が無効になるようにしました。SSE-C で暗号化されたオブジェクトがない AWS アカウント内の既存のバケットの場合、Amazon S3 はすべての新しい書き込みリクエストに対しても SSE-C を無効にしました。この変更により、SSE-C 暗号化を必要とするアプリケーションは、新しいバケットの作成後に PutBucketEncryption API オペレーションを介して SSE-C の使用を意図的に有効にする必要があります。
以下のセクションでは、この更新に関する質問に答えます。
1. 新しく作成されたすべてのバケットに新しい SSE-C 設定が適用されますか。
はい。このデプロイは、AWS 中国および AWS GovCloud (米国) リージョンを含む 37 の AWS リージョンで、2026 年 4 月に完了しました。
注記
中東 (バーレーン) と中東 (UAE) を除くすべての AWS リージョンで新しく作成されたバケットでは、デフォルトで SSE-C が無効になります。
2. Amazon S3 は既存のバケット設定を更新しますか。
AWS アカウントに SSE-C 暗号化オブジェクトが存在しなかった場合、AWS は既存のすべてのバケットで SSE-C 暗号化を無効にしました。AWS アカウントのバケットに SSE-C で暗号化されたオブジェクトが含まれていた場合、AWS はそのアカウントのバケットのバケット設定を変更していません。新しいデフォルト設定は、すべての新しい汎用バケットに適用されます。
3. バケットの SSE-C 暗号化を無効にすることはできますか。
はい。PutBucketEncryption API オペレーションを呼び出して新しい BlockedEncryptionTypes ヘッダーを指定することで、任意のバケットの SSE-C 暗号化を無効にすることができます。
4. SSE-C を使用して新しいバケット内のデータを暗号化できますか?
はい。Amazon S3 の最新のユースケースのほとんどでは、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) や AWS KMS キーによるサーバー側の暗号化 (SSE-KMS) の柔軟性が欠けているため、SSE-C は使用されなくなりました。新しいバケットで SSE-C 暗号化を使用する必要がある場合は、新しいバケットを作成してから、別の PutBucketEncryption リクエストで SSE-C 暗号化の使用を有効にすることができます。
例
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
注記
PutBucketEncryption API を呼び出すには、s3:PutEncryptionConfiguration アクセス許可が必要です。
5. SSE-C をブロックすると、バケットへのリクエストにどのような影響がありますか?
バケットに対して SSE-C がブロックされている場合、SSE-C 暗号化を指定する PutObject、CopyObject、PostObject、またはマルチパートアップロードまたはレプリケーションリクエストは、HTTP 403 AccessDenied エラーで拒否されます。
