本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
新儲存貯體的預設 SSE-C 設定常見問答集
重要
Amazon Simple Storage Service 現在會對所有新的一般用途儲存貯體套用新的預設儲存貯體安全設定,以客戶提供的金鑰 (SSE-C) 自動停用伺服器端加密。2026 年 4 月,Amazon S3 部署了更新,因此所有新的一般用途儲存貯體都會針對所有新的寫入請求停用 SSE-C 加密。對於 中沒有 SSE-C 加密物件 AWS 帳戶 的現有儲存貯體,Amazon S3 也會針對所有新的寫入請求停用 SSE-C。在此變更中,需要 SSE-C 加密的應用程式必須在建立新儲存貯體後,使用 PutBucketEncryption API 操作刻意啟用 SSE-C。
以下各節回答有關此更新的問題。
1。新的 SSE-C 設定是否對所有新建立的儲存貯體生效?
是。此部署已於 2026 年 4 月在 37 AWS 區域完成,包括 AWS 中國和 AWS GovCloud (US) 區域。
注意
除了中東 (巴林) 和中東 (阿拉伯聯合大公國) 以外,所有 AWS 區域中新建立的儲存貯體預設都會停用 SSE-C。
2. Amazon S3 是否已更新我現有的儲存貯體組態?
如果 AWS 您的帳戶沒有任何 SSE-C 加密物件,則 AWS 停用所有現有儲存貯體的 SSE-C 加密。如果您 AWS 帳戶中的任何儲存貯體具有 SSE-C 加密物件,則 AWS 不會變更該帳戶中任何儲存貯體上的儲存貯體組態。新的預設設定會套用至所有新的一般用途儲存貯體。
3. 我可以停用儲存貯體的 SSE-C 加密嗎?
是。您可以呼叫 PutBucketEncryption API 操作並指定新BlockedEncryptionTypes標頭,以停用任何儲存貯體的 SSE-C 加密。
4. 我可以使用 SSE-C 來加密新儲存貯體中的資料嗎?
是。Amazon S3 中的大多數現代使用案例都不再使用 SSE-C,因為它缺乏伺服器端加密的靈活性是使用 Amazon S3 受管金鑰 (SSE-S3) 或使用 AWS KMS 金鑰 (SSE-KMS) 的伺服器端加密。如果您需要在新儲存貯體中使用 SSE-C 加密,您可以建立新的儲存貯體,然後在單獨的PutBucketEncryption請求中啟用 SSE-C 加密。
範例
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
注意
您必須擁有呼叫 PutBucketEncryption API 的s3:PutEncryptionConfiguration許可。
5. 封鎖 SSE-C 如何影響對儲存貯體的請求?
當儲存貯體的 SSE-C 遭到封鎖時,任何指定 SSE-C CopyObject加密的 PutObject、PostObject、 或分段上傳或複寫請求都會遭到拒絕,並顯示 HTTP 403 AccessDenied錯誤。
