Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memblokir atau membuka blokir SSE-C untuk bucket tujuan umum
Sebagian besar kasus penggunaan modern di Amazon S3 tidak lagi menggunakan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) karena tidak memiliki fleksibilitas enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau enkripsi sisi server dengan kunci KMS (SSE-KMS). AWS Persyaratan SSE-C untuk menyediakan kunci enkripsi setiap kali Anda berinteraksi dengan data terenkripsi SSE-C Anda membuatnya tidak praktis untuk membagikan kunci SSE-C Anda dengan pengguna, peran, atau AWS layanan lain yang membaca data dari bucket S3 Anda agar dapat beroperasi pada data Anda.
Untuk membatasi jenis enkripsi sisi server yang dapat Anda gunakan di bucket tujuan umum, Anda dapat memilih untuk memblokir permintaan penulisan SSE-C dengan memperbarui konfigurasi enkripsi default untuk bucket Anda. Konfigurasi tingkat ember ini memblokir permintaan untuk mengunggah objek yang menentukan SSE-C. Ketika SSE-C diblokir untuk bucket, setiap,, PutObject CopyObjectPostObject, atau Multipart Upload atau permintaan replikasi yang menentukan enkripsi SSE-C akan ditolak dengan kesalahan HTTP 403. AccessDenied
Pengaturan ini adalah parameter pada PutBucketEncryption API dan juga dapat diperbarui menggunakan Konsol S3, AWS CLI, AWS SDKs dan, jika Anda memiliki s3:PutEncryptionConfiguration izin.
Nilai yang valid adalahSSE-C, yang memblokir enkripsi SSE-C untuk bucket tujuan umum, danNONE, yang memungkinkan penggunaan SSE-C untuk menulis ke bucket.
penting
Mulai April 2026, AWS akan menonaktifkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk semua bucket baru. Selain itu, enkripsi SSE-C akan dinonaktifkan untuk semua bucket yang ada Akun AWS yang tidak memiliki data terenkripsi SSE-C. Dengan perubahan ini, beberapa aplikasi yang membutuhkan enkripsi SSE-C harus dengan sengaja mengaktifkan penggunaan SSE-C melalui PutBucketEncryptionAPI setelah membuat bucket. Dalam kasus ini, Anda mungkin perlu memperbarui skrip otomatisasi, CloudFormation templat, atau alat konfigurasi infrastruktur lainnya untuk mengonfigurasi pengaturan ini. Untuk informasi lebih lanjut, lihat posting Blog AWS Penyimpanan
Izin
Gunakan PutBucketEncryption API atau Konsol S3 AWS SDKs, atau AWS CLI untuk memblokir atau membuka blokir jenis enkripsi untuk bucket tujuan umum. Anda harus memiliki izin berikut:
s3:PutEncryptionConfiguration
Gunakan GetBucketEncryption API atau Konsol S3 AWS SDKs, atau AWS CLI untuk melihat jenis enkripsi yang diblokir untuk bucket tujuan umum. Anda harus memiliki izin berikut:
s3:GetEncryptionConfiguration
Pertimbangan sebelum memblokir enkripsi SSE-C
Setelah Anda memblokir SSE-C untuk bucket apa pun, perilaku enkripsi berikut akan berlaku:
Tidak ada perubahan pada enkripsi objek yang ada di bucket sebelum Anda memblokir enkripsi SSE-C.
Setelah Anda memblokir enkripsi SSE-C, Anda dapat terus membuat GetObject dan HeadObject meminta objek yang sudah ada sebelumnya yang dienkripsi dengan SSE-C selama Anda memberikan header SSE-C yang diperlukan pada permintaan.
Ketika SSE-C diblokir untuk bucket, permintaan Unggahan
PutObject,,CopyObjectPostObject, atau Multipart apa pun yang menentukan enkripsi SSE-C akan ditolak dengan kesalahan HTTP 403.AccessDeniedJika bucket tujuan untuk replikasi telah diblokir SSE-C dan objek sumber yang direplikasi dienkripsi dengan SSE-C, replikasi akan gagal dengan kesalahan HTTP 403.
AccessDenied
Jika Anda ingin meninjau apakah Anda menggunakan enkripsi SSE-C di salah satu bucket Anda sebelum memblokir jenis enkripsi ini, Anda dapat menggunakan alat seperti AWS CloudTrail
Langkah-langkah
Anda dapat memblokir atau membuka blokir enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk bucket tujuan umum dengan menggunakan konsol Amazon S3, (), Amazon S3 REST API AWS Command Line Interface ,AWS CLI dan. AWS SDKs
Untuk memblokir atau membuka blokir enkripsi SSE-C untuk bucket menggunakan konsol Amazon S3:
Masuk ke Konsol AWS Manajemen dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
Di panel navigasi kiri, pilih ember tujuan umum.
Pilih bucket yang ingin Anda blokir enkripsi SSE-C.
Pilih tab Properties untuk bucket.
Arahkan ke panel properti Enkripsi Default untuk bucket dan pilih Edit.
Di bagian Jenis enkripsi yang diblokir, centang kotak di sebelah Enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk memblokir enkripsi SSE-C atau hapus centang pada kotak ini untuk mengizinkan SSE-C.
Pilih Simpan Perubahan.
Untuk menginstal AWS CLI, lihat Menginstal AWS CLI di Panduan Pengguna.AWS Command Line Interface
Contoh CLI berikut menunjukkan kepada Anda cara memblokir atau membuka blokir enkripsi SSE-C untuk bucket tujuan umum dengan menggunakan file. AWS CLI Untuk menggunakan perintah ganti user input placeholders dengan informasi Anda sendiri.
Permintaan untuk memblokir enkripsi SSE-C untuk bucket tujuan umum:
aws s3api put-bucket-encryption \ --bucket amzn-s3-demo-bucket \ --server-side-encryption-configuration '{ "Rules": [{ "BlockEncryptionTypes": { "EncryptionType": "SSE-C" } }] }'
Permintaan untuk mengaktifkan penggunaan enkripsi SSE-C pada bucket tujuan umum:
aws s3api put-bucket-encryption \ --bucket amzn-s3-demo-bucket \ --server-side-encryption-configuration '{ "Rules": [{ "BlockEncryptionTypes": { "EncryptionType": "NONE" } }] }'
Untuk informasi tentang dukungan Amazon S3 REST API untuk memblokir atau membuka blokir enkripsi SSE-C untuk bucket tujuan umum, lihat bagian berikut di Referensi API Layanan Penyimpanan Sederhana Amazon:
BlockedEncryptionTypestipe data yang digunakan dalam tipe ServerSideEncryptionRuledata operasi PutBucketEncryptiondan GetBucketEncryptionAPI.
