새 버킷의 기본 SSE-C 설정 FAQ
중요
Amazon Simple Storage Service는 이제 모든 새로운 범용 버킷에 대해 고객 제공 키(SSE-C)를 사용한 서버 측 암호화를 자동으로 비활성화하는 새로운 기본 버킷 보안 설정을 적용합니다. 2026년 4월에 Amazon S3는 모든 새로운 범용 버킷에서 모든 새 쓰기 요청에 대해 SSE-C 암호화를 비활성화하는 업데이트를 배포했습니다. SSE-C 암호화 객체가 없는 AWS 계정의 기존 버킷인 경우 Amazon S3는 모든 새 쓰기 요청에 대해 SSE-C도 비활성화합니다. 이 변경 사항에 따라 SSE-C 암호화가 필요한 애플리케이션은 새 버킷을 생성한 후 PutBucketEncryption API 작업을 사용하여 SSE-C를 의도적으로 활성화해야 합니다.
다음 섹션에서는 이 업데이트에 대한 질문과 답변을 제공합니다.
1. 새 SSE-C 설정이 새로 생성된 모든 버킷에 적용되나요?
예. 이 배포는 2026년 4월에 AWS 중국 및 AWS GovCloud(미국) 리전을 포함한 37개 AWS 리전에서 완료되었습니다.
참고
중동(바레인) 및 중동(UAE)를 제외한 모든 AWS 리전에서 새로 생성된 모든 버킷은 기본적으로 SSE-C가 비활성화됩니다.
2. Amazon S3에서 기존 버킷 구성을 업데이트했나요?
AWS 계정에 SSE-C 암호화 객체가 없었다면 AWS는 모든 기존 버킷에서 SSE-C 암호화를 비활성화했습니다. AWS 계정의 버킷에 SSE-C 암호화 객체가 있었다면 AWS는 해당 계정의 버킷에 대한 버킷 구성을 변경하지 않았습니다. 새로운 기본 설정은 모든 새 범용 버킷에 적용됩니다.
3. 버킷에 대해 SSE-C 암호화를 비활성화할 수 있나요?
예. PutBucketEncryption API 작업을 직접 호출하고 새 BlockedEncryptionTypes 헤더를 지정하여 모든 버킷에 대한 SSE-C 암호화를 비활성화할 수 있습니다.
4. SSE-C를 사용하여 새 버킷의 데이터를 암호화할 수 있나요?
예. Amazon S3 관리형 키(SSE-S3) 또는 AWS KMS 키를 사용한 서버 측 암호화(SSE-KMS)의 유연성이 부족하기 때문에 Amazon S3의 최신 사용 사례에서는 더 이상 SSE-C를 사용하지 않습니다. 새 버킷에서 SSE-C 암호화를 사용해야 하는 경우 새 버킷을 생성한 다음 별도의 PutBucketEncryption 요청에서 SSE-C 암호화 사용을 활성화할 수 있습니다.
예제
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
참고
PutBucketEncryption API를 직접 호출할 s3:PutEncryptionConfiguration 권한이 있어야 합니다.
5. SSE-C를 차단하면 버킷에 대한 요청에 어떤 영향을 미치나요?
버킷에 대해 SSE-C가 차단되면 SSE-C 암호화를 지정하는 모든 PutObject, CopyObject, PostObject 또는 멀티파트 업로드 또는 복제 요청이 HTTP 403 AccessDenied 오류와 함께 거부됩니다.
