Perguntas frequentes sobre a configuração padrão do SSE-C para novos buckets

Importante

Agora o Amazon Simple Storage Service aplica uma nova configuração de segurança de bucket padrão que desabilita automaticamente a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C) para todos os buckets de uso geral. Em abril de 2026, o Amazon S3 implantou uma atualização para que todos os novos buckets de uso geral tenham a criptografia SSE-C desabilitada para todas as novas solicitações de gravação. Para buckets existentes em Contas da AWS sem objetos criptografados com SSE-C, o Amazon S3 também desabilita o SSE-C para todas as novas solicitações de gravação. Com essa mudança, as aplicações que precisam da criptografia SSE-C deverão habilitar deliberadamente o uso do SSE-C por meio da operação de API PutBucketEncryption após a criação do bucket.

As seções a seguir respondem a perguntas sobre essa atualização.

1. A nova configuração padrão do SSE-C aplica-se a todos os buckets recém-criados?

Sim. Essa implantação foi realizada em 37 regiões da AWS, inclusive nas regiões da AWS na China e na AWS GovCloud (EUA), em abril de 2026.

nota

Todos os buckets recém-criados em todas as regiões da AWS, exceto Oriente Médio (Bahrein) e Oriente Médio (EAU), terão o SSE-C desabilitado por padrão.

2. O Amazon S3 atualizou as configurações de bucket que eu já tinha?

A AWS desabilitou a criptografia SSE-C em todos os buckets existentes em contas da AWS que não tinham nenhum objeto criptografado com SSE-C. Em contas da AWS que tinham objetos criptografados com SSE-C, a AWS não alterou as configurações em nenhum bucket nessas contas. A nova configuração padrão se aplica a todos os novos buckets de uso geral.

3. Posso desabilitar a criptografia SSE-C para meus buckets?

Sim. Você pode desabilitar a criptografia SSE-C para qualquer bucket chamando a operação de API PutBucketEncryption e especificando o novo cabeçalho BlockedEncryptionTypes.

4. Posso usar o SSE-C para criptografar dados em meus novos buckets?

Sim. A maioria dos casos de uso modernos no Amazon S3 não usa mais o SSE-C porque esse tipo de criptografia não tem a flexibilidade da criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou da criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS). Se precisar usar a criptografia SSE-C em um novo bucket, é possível outro bucket e, em seguida, habilitar o uso da criptografia SSE-C em uma solicitação PutBucketEncryption separada.

Exemplo



aws s3api create-bucket \  
bucket amzn-s3-demo-bucket \ 
region us-east-1 \ 
  
aws s3api put-bucket-encryption \  
-- bucket amzn-s3-demo-bucket \
-- server-side-encryption-configuration \
'{ \Rules\: [{   
   {   
   \ApplyServerSideEncryptionByDefault\: {   
     \SSEAlgorithm\: \AES256\,  
    },   
   \BlockedEncryptionTypes\: [  
     \EncryptionType\:\NONE\]   
   }   
   }]   
}'

nota

Para chamar a API PutBucketEncryption, é necessário ter a permissão s3:PutEncryptionConfiguration.

5. Como o bloqueio do SSE-C afeta as solicitações ao meu bucket?

Quando o SSE-C é bloqueado para um bucket, qualquer solicitação PutObject, CopyObject, PostObject, de multipart upload ou de replicação que especificar a criptografia SSE-C será rejeitada com o erro HTTP 403 AccessDenied.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Bloquear ou desbloquear o SSE-C

Uso de criptografia do lado do cliente