# Bloquear ou desbloquear o SSE-C para um bucket de uso geral
<a name="blocking-unblocking-s3-c-encryption-gpb"></a>

Em abril de 2026, o Amazon S3 passou a desabilitar automaticamente a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C) para todos os novos buckets de uso geral. O Amazon S3 também desabilitou o SSE-C para buckets existentes em contas sem objetos criptografados com SSE-C. Isso significa que, por padrão, as solicitações para fazer upload de objetos usando SSE-C são rejeitadas com o erro HTTP 403 `AccessDenied`.

O SSE-C exige que você forneça a chave de criptografia em todas as solicitações para ler ou gravar objetos criptografados, o que dificulta o compartilhamento do acesso com outros usuários, perfis ou serviços da AWS que operam em seus dados. A maioria das workloads usa criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou chaves do AWS KMS (SSE-KMS).

Se a workload exigir SSE-C, é possível habilitá-lo explicitamente atualizando a configuração de criptografia padrão do bucket. Entretanto, se você tiver buckets existentes nos quais o SSE-C ainda é permitido, será necessário bloqueá-lo para evitar novos uploads com SSE-C.

Quando o SSE-C é bloqueado para um bucket, qualquer solicitação `PutObject`, `CopyObject`, `PostObject`, de multipart upload ou de replicação que especificar a criptografia SSE-C será rejeitada com o erro HTTP 403 `AccessDenied`. Os objetos criptografados com SSE-C existentes no bucket não são afetados. Você ainda pode lê-los com `GetObject` ou `HeadObject` fornecendo os cabeçalhos SSE-C necessários.

Essa configuração é um parâmetro na API `PutBucketEncryption` e também poderá ser atualizada usando o console do S3, a AWS CLI ou SDKs da AWS. Você deve ter a permissão `s3:PutEncryptionConfiguration`.

**Importante**  
Agora o Amazon Simple Storage Service aplica uma nova configuração de segurança de bucket padrão que desabilita automaticamente a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C) para todos os buckets de uso geral. Em abril de 2026, o Amazon S3 implantou uma atualização para que todos os novos buckets de uso geral tenham a criptografia SSE-C desabilitada para todas as novas solicitações de gravação. Para buckets existentes em Contas da AWS sem objetos criptografados com SSE-C, o Amazon S3 também desabilita o SSE-C para todas as novas solicitações de gravação. Com essa mudança, as aplicações que precisam da criptografia SSE-C deverão habilitar deliberadamente o uso do SSE-C por meio da operação de API [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) após a criação do bucket. Para saber mais sobre essa mudança, consulte [Perguntas frequentes sobre a configuração padrão do SSE-C para novos buckets](default-s3-c-encryption-setting-faq.md).

## Permissões
<a name="bucket-encryption-permissions"></a>

Use a `PutBucketEncryption` API ou o console do S3, SDKs da AWS ou a AWS CLI para bloquear ou desbloquear tipos de criptografia para um bucket de uso geral. É necessário ter a seguinte permissão:
+ `s3:PutEncryptionConfiguration`

Use a `GetBucketEncryption` API ou o console do S3, SDKs da AWS ou a AWS CLI para visualizar os tipos de criptografia bloqueados para um bucket de uso geral. É necessário ter a seguinte permissão:
+ `s3:GetEncryptionConfiguration`

## Considerações antes de bloquear a criptografia SSE-C
<a name="considerations-before-blocking-sse-c"></a>

Depois de bloquear o SSE-C para qualquer bucket, o seguinte comportamento de criptografia será aplicado:
+ Não há alteração na criptografia dos objetos que existiam no bucket antes de você bloquear a criptografia SSE-C.
+ Depois de bloquear a criptografia SSE-C, você pode continuar fazendo solicitações GetObject e HeadObject em objetos preexistentes criptografados com SSE-C, desde que forneça os cabeçalhos SSE-C necessários nas solicitações.
+ Quando o SSE-C é bloqueado para um bucket, qualquer solicitação `PutObject`, `CopyObject`, `PostObject` ou de multipart upload que especificar a criptografia SSE-C será rejeitada com o erro HTTP 403 `AccessDenied`.
+ Se um bucket de destino para replicação tiver o SSE-C bloqueado e os objetos de origem que estão sendo replicados forem criptografados com o SSE-C, a replicação falhará com o erro HTTP 403 `AccessDenied`.

Se você quiser verificar se está usando o SSE-C em qualquer um dos seus buckets antes de bloquear esse tipo de criptografia, use ferramentas como o [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) para monitorar o acesso aos seus dados. Esta [publicação de blog](https://aws.amazon.com/blogs/storage/auditing-amazon-s3-server-side-encryption-methods-for-object-uploads/) mostra como auditar métodos de criptografia para uploads de objetos em tempo real. Você também pode consultar este [artigo do re:Post](https://repost.aws/articles/ARhGC12rOiTBCKHcAe9GZXCA/how-to-detect-existing-use-of-sse-c-in-your-amazon-s3-buckets) para saber como consultar os relatórios do Inventário S3 para ver se você tem algum objeto criptografado com SSE-C.

### Etapas
<a name="block-sse-c-gpb-steps"></a>

É possível bloquear ou desbloquear a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C) para um bucket de uso geral usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), a API REST do Amazon S3 e SDKs da AWS.

### Usar o console do S3
<a name="block-sse-c-gpb-console"></a>

Para bloquear ou desbloquear a criptografia SSE-C para um bucket usando o console Amazon S3:

1. Faça login no Console de Gerenciamento da AWS e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

1. No painel de navegação à esquerda, escolha **Buckets de uso geral**.

1. Selecione o bucket para o qual você gostaria de bloquear a criptografia SSE-C.

1. Selecione a guia **Propriedades** do bucket.

1. Navegue até o painel de propriedades **Criptografia padrão** do bucket e selecione **Editar**.

1. Na seção **Tipos de criptografia bloqueados**, marque a caixa ao lado de **Criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C) para bloquear a criptografia SSE-C** ou desmarque essa caixa para permitir o SSE-C.

1. Escolha **Salvar alterações**.

### Como usar o AWS CLI
<a name="block-sse-c-gpb-cli"></a>

Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.

O exemplo da CLI a seguir mostra como bloquear ou desbloquear a criptografia SSE-C para um bucket de uso geral usando a AWS CLI. Para usar o comando, substitua os {{espaços reservados para entrada do usuário}} por suas próprias informações.

**Solicitação para bloquear a criptografia SSE-C para um bucket de uso geral:**

```
aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'
```

**Solicitação para habilitar o uso da criptografia SSE-C em um bucket de uso geral:**

```
aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
```

## Usar SDKs da AWS
<a name="block-sse-c-gpb-sdks"></a>

------
#### [ SDK for Java 2.x ]

Os seguintes exemplos mostram como bloquear ou desbloquear gravações da criptografia SSE-C em buckets de uso geral usando os SDKs da AWS:

**Exemplo: solicitação PutBucketEncryption que define a configuração de criptografia padrão como SSE-S3 e bloqueia o SSE-C**

```
S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
```

**Exemplo: solicitação PutBucketEncryption que define a configuração de criptografia padrão como SSE-S3 e desbloqueia o SSE-C**

```
S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
```

------
#### [ SDK for Python Boto3 ]

**Exemplo: solicitação PutBucketEncryption que define a configuração de criptografia padrão como SSE-S3 e bloqueia o SSE-C**

```
s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)
```

**Exemplo: solicitação PutBucketEncryption que define a configuração de criptografia padrão como SSE-S3 e desbloqueia o SSE-C**

```
s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)
```

------

## Uso da API REST
<a name="bucket-tag-add-api"></a>

Para ter informações sobre a compatibilidade oferecida pela API REST do Amazon S3 para bloquear ou desbloquear a criptografia SSE-C para um bucket de uso geral, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ Tipo de dados [BlockedEncryptionTypes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_BlockedEncryptionTypes.html) usado no tipo de dados [ServerSideEncryptionRule](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ServerSideEncryptionRule.html) das operações de API [PutBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) e [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html).