Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Häufig gestellte Fragen zur SSE-C-Standardeinstellung für neue Buckets
Wichtig
Ab April 2026 AWS wird die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) für alle neuen Buckets deaktiviert. Darüber hinaus wird die SSE-C-Verschlüsselung für alle vorhandenen Buckets deaktiviert, die keine SSE-C-verschlüsselten AWS-Konten Daten enthalten. Aufgrund dieser Änderungen müssen die wenigen Anwendungen, die eine SSE-C-Verschlüsselung benötigen, nach der Erstellung des Buckets bewusst die Verwendung von SSE-C über die API aktivieren. PutBucketEncryption In diesen Fällen müssen Sie möglicherweise Automatisierungsskripts, CloudFormation Vorlagen oder andere Tools zur Infrastrukturkonfiguration aktualisieren, um diese Einstellungen zu konfigurieren. Weitere Informationen finden Sie im AWS Speicher-Blogbeitrag
In den folgenden Abschnitten werden Fragen zu diesem Update beantwortet.
1. Wird die neue SSE-C-Einstellung im April 2026 für alle neu erstellten Buckets wirksam?
Ja. Im April 2026 wird die neue Standardeinstellung schrittweise in allen Regionen eingeführt. AWS
2. Wie lange wird es dauern, bis dieser Rollout alle AWS Regionen abdeckt?
Die Einführung dieses Updates wird mehrere Wochen dauern. Wir werden einen Beitrag mit den Neuerungen veröffentlichen, wenn wir mit der Bereitstellung dieses Updates beginnen.
3. Woher weiß ich, dass das Update abgeschlossen ist?
Sie können ganz einfach feststellen, ob die Änderung in Ihrer AWS Region abgeschlossen wurde, indem Sie einen neuen Bucket erstellen und den GetBucketEncryptionAPI-Vorgang aufrufen, um festzustellen, ob die SSE-C-Verschlüsselung deaktiviert ist. Nach Abschluss des Updates ist die SSE-C-Verschlüsselung für alle neuen Allzweck-Buckets standardmäßig automatisch deaktiviert. Sie können diese Einstellungen anpassen, nachdem Sie Ihren S3-Bucket erstellt haben, indem Sie den PutBucketEncryptionAPI-Vorgang aufrufen.
4. Wird Amazon S3 meine bestehenden Bucket-Konfigurationen aktualisieren?
Wenn Ihr AWS Konto keine SSE-C-verschlüsselten Objekte enthält, AWS wird die SSEC-Verschlüsselung für all Ihre vorhandenen Buckets deaktiviert. Wenn ein Bucket in Ihrem AWS Konto SSE-C-verschlüsselte Objekte enthält, AWS werden die Bucket-Konfigurationen in keinem Ihrer Buckets in diesem Konto geändert. Sobald die CreateBucket Änderung für Ihre AWS Region abgeschlossen ist, gilt die neue Standardeinstellung für alle neuen Allzweck-Buckets.
5. Kann ich die SSE-C-Verschlüsselung für meine Buckets deaktivieren, bevor das Update abgeschlossen ist?
Ja. Sie können die SSE-C-Verschlüsselung für jeden Bucket deaktivieren, indem Sie den PutBucketEncryptionAPI-Vorgang aufrufen und den neuen Header angeben. BlockedEncryptionTypes
6. Kann ich SSE-C verwenden, um Daten in meinen neuen Buckets zu verschlüsseln?
Ja. In den meisten modernen Anwendungsfällen in Amazon S3 wird SSE-C nicht mehr verwendet, da es nicht über die Flexibilität verfügt, die serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) oder serverseitiger Verschlüsselung mit AWS KMS-Schlüsseln (SSE-KMS) bietet. Wenn Sie die SSE-C-Verschlüsselung in einem neuen Bucket verwenden müssen, können Sie den neuen Bucket erstellen und dann die Verwendung der SSE-C-Verschlüsselung in einer separaten Anfrage aktivieren. PutBucketEncryption
Beispiel
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
Anmerkung
Sie müssen die s3:PutEncryptionConfiguration Erlaubnis haben, die API aufzurufen. PutBucketEncryption
7. Wie wirkt sich das Blockieren von SSE-C auf Anfragen an meinen Bucket aus?
Wenn SSE-C für einen Bucket blockiert ist, werden allePutObject,, oder Multipart Upload- oder ReplikationsanfragenPostObject, die die SSE-C-Verschlüsselung spezifizieren, mit einem HTTP 403-Fehler zurückgewiesen. CopyObject AccessDenied
