Perbarui enkripsi objek - Amazon Simple Storage Service
Pembatasan dan pertimbanganIzin yang diperlukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perbarui enkripsi objek

Anda dapat menggunakan Operasi Batch Amazon S3 untuk melakukan operasi batch skala besar pada objek Amazon S3. Operasi UpdateObjectEncryptionOperasi Batch memperbarui jenis enkripsi sisi server lebih dari satu objek Amazon S3 dengan satu permintaan. Pekerjaan UpdateObjectEncryption operasi tunggal dapat mendukung manifes dengan hingga 20 miliar objek.

UpdateObjectEncryptionOperasi ini didukung untuk semua kelas penyimpanan Amazon S3 yang didukung oleh bucket tujuan umum. Anda dapat menggunakan UpdateObjectEncryption operasi untuk mengubah objek terenkripsi dari enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) ke kunci Layanan Manajemen Kunci () (AWS SSE-KMS), atau untuk menerapkan Kunci AWS KMS Bucket S3. Anda juga dapat menggunakan UpdateObjectEncryption operasi untuk mengubah kunci KMS yang dikelola pelanggan yang digunakan untuk mengenkripsi data Anda sehingga Anda dapat mematuhi standar rotasi kunci kustom.

Saat membuat pekerjaan Operasi Batch, Anda dapat membuat daftar objek berdasarkan lokasi sumber dan kriteria filter yang Anda tentukan. Anda dapat menggunakan MatchAnyObjectEncryption filter untuk membuat daftar objek dari bucket yang ingin diperbarui dan disertakan dalam manifes Anda. Daftar objek yang dihasilkan hanya mencakup objek bucket sumber dengan tipe enkripsi sisi server yang ditunjukkan. Jika Anda memilih SSE-KMS, Anda dapat memfilter hasil lebih lanjut secara opsional dengan menentukan status aktif KMS Key ARN dan Bucket Key tertentu. Untuk informasi selengkapnya, lihat JobManifestGeneratorFilterdan SSEKMSFilterdi Referensi Amazon S3API.

Pembatasan dan pertimbangan

Saat Anda menggunakan operasi UpdateObjectEncryption Operasi Batch, pembatasan dan pertimbangan berikut berlaku:

  • UpdateObjectEncryptionOperasi tidak mendukung objek yang tidak dienkripsi atau objek yang dienkripsi dengan enkripsi sisi server dua lapis dengan (DSSE-KMS) atau kunci enkripsi yang disediakan pelanggan AWS KMS keys (SSE-C). Selain itu, Anda tidak dapat menentukan permintaan jenis enkripsi SSE-S3. UpdateObjectEncryption

  • Anda dapat menggunakan UpdateObjectEncryption operasi untuk memperbarui objek dalam bucket yang mengaktifkan Versi S3. Untuk memperbarui jenis enkripsi versi tertentu, Anda harus menentukan ID versi dalam UpdateObjectEncryption permintaan Anda. Jika Anda tidak menentukan ID versi, UpdateObjectEncryption permintaan akan bertindak pada versi objek saat ini. Untuk informasi selengkapnya tentang Penentuan Versi S3, lihat Mempertahankan beberapa versi objek dengan Versi S3.

  • UpdateObjectEncryptionOperasi gagal pada objek apa pun yang memiliki mode retensi Kunci Objek S3 atau penahanan hukum yang diterapkan padanya. Jika objek memiliki periode retensi modus tata kelola atau penahanan hukum, Anda harus terlebih dahulu menghapus status Kunci Objek pada objek sebelum Anda mengeluarkan permintaan Anda. UpdateObjectEncryption Anda tidak dapat menggunakan UpdateObjectEncryption operasi dengan objek yang memiliki periode retensi mode kepatuhan Object Lock diterapkan padanya. Untuk informasi lebih lanjut tentang S3 Object Lock, lihat Mengunci objek dengan Object Lock.

  • UpdateObjectEncryptionpermintaan pada bucket sumber dengan replikasi langsung diaktifkan tidak akan memulai peristiwa replika di bucket tujuan. Jika Anda ingin mengubah jenis enkripsi objek di bucket sumber dan tujuan, Anda harus memulai UpdateObjectEncryption permintaan terpisah pada objek di bucket sumber dan tujuan.

  • Secara default, semua UpdateObjectEncryption permintaan yang menentukan kunci KMS yang dikelola pelanggan dibatasi untuk kunci KMS yang dimiliki oleh pemilik bucket. Akun AWS Jika Anda menggunakan AWS Organizations, Anda dapat meminta kemampuan untuk menggunakan yang AWS KMS keys dimiliki oleh akun anggota lain dalam organisasi Anda dengan menghubungi AWS Dukungan.

  • Jika Anda menggunakan Replikasi Batch S3 untuk mereplikasi kumpulan data lintas wilayah dan objek Anda sebelumnya memiliki jenis enkripsi sisi server yang diperbarui dari SSE-S3 ke SSE-KMS, Anda mungkin memerlukan izin tambahan. Di bucket wilayah sumber, Anda harus memiliki kms:decrypt izin. Kemudian, Anda akan memerlukan kms:encrypt izin kms:decrypt dan untuk bucket di wilayah tujuan.

  • Berikan ARN kunci KMS lengkap dalam UpdateObjectEncryption permintaan Anda. Anda tidak dapat menggunakan nama alias atau alias ARN. Anda dapat menentukan ARN Kunci KMS lengkap di AWS KMS Console atau menggunakan AWS KMS API. DescribeKey

Untuk informasi selengkapnya tentang UpdateObjectEncryption, lihat Memperbarui enkripsi sisi server untuk data yang ada.

Izin yang diperlukan

Untuk melakukan UpdateObjectEncryption operasi, tambahkan kebijakan AWS Identity and Access Management (IAM) berikut ke kepala IAM Anda (pengguna, peran, atau grup). Untuk menggunakan kebijakan ini, ganti amzn-s3-demo-bucket dengan nama bucket yang berisi objek yang ingin Anda perbarui enkripsi. Ganti amzn-s3-demo-manifest-bucket dengan nama bucket yang berisi manifes Anda, dan ganti amzn-s3-demo-completion-report-bucket dengan nama bucket tempat Anda ingin menyimpan laporan penyelesaian.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3BatchOperationsUpdateEncryption",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:UpdateObjectEncryption"
            ],
            "Resource": [
                 "arn:aws:s3:::amzn-s3-demo-bucket-target"
                "arn:aws:s3:::amzn-s3-demo-bucket-target-target/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForManifestFile",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-manifest/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForCompletionReport",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-completion-report/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyManifestGeneration",
            "Effect": "Allow",
            "Action": [
                "s3:PutInventoryConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-target"
            ]
        },
        {
            "Sid": "AllowKMSOperationsForS3BatchOperations",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": [                "arn:aws:kms:us-east-1:111122223333:key/01234567-89ab-cdef-0123-456789abcdef"
            ]
        }
    ]
}

Untuk kebijakan kepercayaan dan kebijakan izin yang harus Anda lampirkan ke peran IAM yang diasumsikan oleh prinsipal layanan Operasi Batch S3 untuk menjalankan pekerjaan Operasi Batch atas nama Anda, lihat dan. Memberikan izin untuk Batch Operations Perbarui enkripsi objek