对通用存储桶阻止或取消阻止 SSE-C

从 2026 年 4 月开始，Amazon S3 自动对所有新的通用存储桶禁用具有客户提供密钥的服务器端加密（SSE-C）。Amazon S3 还对无 SSE-C 加密对象的账户中的现有存储桶禁用 SSE-C。这意味着，默认情况下，使用 SSE-C 上传对象的请求会遭拒绝，并出现 HTTP 403 AccessDenied 错误。

SSE-C 要求您在读取或写入加密对象的每个请求中都提供加密密钥，这使您难以与其他对数据进行操作的用户、角色或 AWS 服务共享访问权限。大多数工作负载使用具有 Amazon S3 托管式密钥（SSE-S3）或 AWS KMS 密钥（SSE-KMS）的服务器端加密。

如果您的工作负载需要 SSE-C，则可以通过更新存储桶的默认加密配置来显式启用它。相反，如果现有存储桶仍支持 SSE-C，则可以将阻止它以防止新的 SSE-C 上传。

为存储桶阻止了 SSE-C 之后，任何指定 SSE-C 加密的 PutObject、CopyObject、PostObject、分段上传或复制请求都将被拒绝，并显示 HTTP 403 AccessDenied 错误。存储桶中现有的 SSE-C 加密对象不受影响，您仍然可以通过提供所需的 SSE-C 标头使用 GetObject 或 HeadObject 来读取它们。

此设置是 PutBucketEncryption API 上的一个参数，也可以使用 S3 控制台、AWS CLI 和 AWS SDK 更新此设置。您必须具有 s3:PutEncryptionConfiguration 权限。

重要

Amazon Simple Storage Service 现在应用新的默认存储桶安全设置，该设置将对所有新的通用存储桶自动禁用具有客户提供密钥的服务器端加密（SSE-C）。2026 年 4 月，Amazon S3 部署了更新，因此，所有新的通用存储桶都将对所有新的写入请求禁用 SSE-C 加密。对于 AWS 账户中没有 SSE-C 加密对象的现有存储桶，Amazon S3 还对所有新的写入请求禁用了 SSE-C。通过这一更改，需要 SSE-C 加密的应用程序必须在创建新的存储桶后，专门使用 PutBucketEncryption API 操作启用 SSE-C。有关此更改的更多信息，请参阅新存储桶的默认 SSE-C 设置常见问题解答。

权限

对于通用存储桶，使用 PutBucketEncryption API、S3 控制台、AWS SDK 或 AWS CLI 来阻止或取消阻止加密类型。您必须拥有以下权限：

s3:PutEncryptionConfiguration

对于通用存储桶，使用 GetBucketEncryption API、S3 控制台、AWS SDK 或 AWS CLI 来查看阻止的加密类型。您必须拥有以下权限：

s3:GetEncryptionConfiguration

阻止 SSE-C 加密之前的注意事项

在为所有存储桶阻止 SSE-C 后，将应用以下加密行为：

对于在您阻止 SSE-C 加密之前存储桶中已有的对象，其加密没有变化。
阻止 SSE-C 加密后，只要您在请求中提供所需的 SSE-C 标头，就可以继续对之前已有的 SSE-C 加密对象发出 GetObject 和 HeadObject 请求。
为存储桶阻止 SSE-C 之后，任何指定 SSE-C 加密的 PutObject、CopyObject、PostObject 或分段上传请求都将被拒绝，并返回 HTTP 403 AccessDenied 错误。
如果用于复制的目标存储桶已阻止 SSE-C，并且所复制的源对象使用 SSE-C 加密，则复制将失败并返回 HTTP 403 AccessDenied 错误。

如果您要在阻止 SSE-C 加密类型之前检查是否有任何存储桶使用了此加密类型，可以使用 AWS CloudTrail 等工具来监控对数据的访问权限。这篇博客文章说明如何实时审计对象上传的加密方法。您也可以参考这篇 re:Post 文章，文中指导您通过查询 S3 清单报告来查看是否有任何 SSE-C 加密对象。

Steps

对于通用存储桶，您可以使用 Amazon S3 控制台、AWS Command Line Interface（AWS CLI）、Amazon S3 REST API 和 AWS SDK，阻止或取消阻止具有客户提供密钥的服务器端加密（SSE-C）。

要使用 Amazon S3 控制台为存储桶阻止或取消阻止 SSE-C 加密，请执行以下操作：

登录 AWS 管理控制台并在 https://console.aws.amazon.com/s3/ 中打开 Amazon S3 控制台。
在左侧导航窗格中，选择通用存储桶。
选择您要阻止 SSE-C 加密的存储桶。
选择存储桶的属性选项卡。
导航到存储桶的默认加密属性面板，然后选择编辑。
在阻止的加密类型部分中，选中具有客户提供密钥的服务器端加密（SSE-C）旁边的复选框可阻止 SSE-C 加密，取消选中此框则表示允许 SSE-C。
选择保存更改。

要安装 AWS CLI，请参阅《AWS Command Line Interface 用户指南》中的安装 AWS CLI。

以下 CLI 示例说明如何使用 AWS CLI，为通用存储桶阻止或取消阻止 SSE-C 加密。要使用该命令，请将用户输入占位符 替换为您自己的信息。

请求为通用存储桶阻止 SSE-C 加密：


aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

请求在通用存储桶上启用 SSE-C 加密：


aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'

SDK for Java 2.x

以下示例说明如何使用 AWS SDK，为通用存储桶阻止或取消阻止 SSE-C 加密写入。

示例：PutBucketEncryption 请求将默认加密配置设置为 SSE-S3 并阻止 SSE-C


S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

示例：PutBucketEncryption 请求将默认加密配置设置为 SSE-S3 并取消阻止 SSE-C


S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

SDK for Python Boto3

示例：PutBucketEncryption 请求将默认加密配置设置为 SSE-S3 并阻止 SSE-C


s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

示例：PutBucketEncryption 请求将默认加密配置设置为 SSE-S3 并取消阻止 SSE-C


s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

有关 Amazon S3 REST API 支持为通用存储桶阻止或取消阻止 SSE-C 加密的信息，请参阅《Amazon Simple Storage Service API 参考》中的以下部分：

BlockedEncryptionTypes 数据类型用于 PutBucketEncryption 和 GetBucketEncryption API 操作的 ServerSideEncryptionRule 数据类型中。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

指定 SSE-C

默认 SSE-C 设置常见问题解答