Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memblokir atau membuka blokir SSE-C untuk bucket tujuan umum
Mulai April 2026, Amazon S3 secara otomatis menonaktifkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk semua bucket tujuan umum baru. Amazon S3 juga menonaktifkan SSE-C untuk bucket yang ada di akun tanpa objek terenkripsi SSE-C. Ini berarti bahwa secara default, permintaan untuk mengunggah objek menggunakan SSE-C ditolak dengan kesalahan HTTP 403`AccessDenied`.
SSE-C mengharuskan Anda untuk menyediakan kunci enkripsi dengan setiap permintaan untuk membaca atau menulis objek terenkripsi, sehingga sulit untuk berbagi akses dengan pengguna, peran, atau AWS layanan lain yang beroperasi pada data Anda. Sebagian besar beban kerja menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau kunci KMS (SSE-KMS) sebagai gantinya. AWS
Jika beban kerja Anda memerlukan SSE-C, Anda dapat mengaktifkannya secara eksplisit dengan memperbarui konfigurasi enkripsi default untuk bucket Anda. Sebaliknya, jika Anda memiliki bucket yang sudah ada di mana SSE-C masih diizinkan, Anda dapat memblokirnya untuk mencegah unggahan SSE-C baru.
Ketika SSE-C diblokir untuk bucket, setiap,, `PutObject``CopyObject`, Multipart Upload`PostObject`, atau permintaan replikasi yang menentukan enkripsi SSE-C akan ditolak dengan kesalahan HTTP 403. `AccessDenied` Objek terenkripsi SSE-C yang ada di bucket tidak terpengaruh, Anda masih dapat membacanya dengan `GetObject` atau `HeadObject` dengan menyediakan header SSE-C yang diperlukan.
Pengaturan ini adalah parameter pada `PutBucketEncryption` API dan juga dapat diperbarui menggunakan konsol S3, AWS CLI, atau. AWS SDKs Anda harus memiliki `s3:PutEncryptionConfiguration` izin.
**penting**
Amazon Simple Storage Service sekarang menerapkan pengaturan keamanan bucket default baru yang secara otomatis menonaktifkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk semua bucket tujuan umum yang baru. Pada April 2026, Amazon S3 menerapkan pembaruan sehingga semua bucket tujuan umum baru menonaktifkan enkripsi SSE-C untuk semua permintaan tulis baru. Untuk bucket yang ada tanpa objek terenkripsi SSE-C, Amazon S3 juga menonaktifkan SSE-C untuk semua permintaan penulisan baru. Akun AWS Dengan perubahan ini, aplikasi yang membutuhkan enkripsi SSE-C harus sengaja mengaktifkan SSE-C dengan menggunakan operasi [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)API setelah membuat bucket baru. Untuk informasi lebih lanjut tentang perubahan ini, lihat[Pengaturan SSE-C standar untuk bucket baru FAQ](default-s3-c-encryption-setting-faq.md).
## Izin
Gunakan `PutBucketEncryption` API atau Konsol S3 AWS SDKs, atau AWS CLI untuk memblokir atau membuka blokir jenis enkripsi untuk bucket tujuan umum. Anda harus memiliki izin berikut:
+ `s3:PutEncryptionConfiguration`
Gunakan `GetBucketEncryption` API atau Konsol S3 AWS SDKs, atau AWS CLI untuk melihat jenis enkripsi yang diblokir untuk bucket tujuan umum. Anda harus memiliki izin berikut:
+ `s3:GetEncryptionConfiguration`
## Pertimbangan sebelum memblokir enkripsi SSE-C
Setelah Anda memblokir SSE-C untuk bucket apa pun, perilaku enkripsi berikut akan berlaku:
+ Tidak ada perubahan pada enkripsi objek yang ada di bucket sebelum Anda memblokir enkripsi SSE-C.
+ Setelah Anda memblokir enkripsi SSE-C, Anda dapat terus membuat GetObject dan HeadObject meminta objek yang sudah ada sebelumnya yang dienkripsi dengan SSE-C selama Anda memberikan header SSE-C yang diperlukan pada permintaan.
+ Ketika SSE-C diblokir untuk bucket, permintaan Unggahan`PutObject`,, `CopyObject``PostObject`, atau Multipart apa pun yang menentukan enkripsi SSE-C akan ditolak dengan kesalahan HTTP 403. `AccessDenied`
+ Jika bucket tujuan untuk replikasi telah diblokir SSE-C dan objek sumber yang direplikasi dienkripsi dengan SSE-C, replikasi akan gagal dengan kesalahan HTTP 403. `AccessDenied`
Jika Anda ingin meninjau apakah Anda menggunakan enkripsi SSE-C di salah satu bucket Anda sebelum memblokir jenis enkripsi ini, Anda dapat menggunakan alat seperti [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)untuk memantau akses ke data Anda. [Posting blog](https://aws.amazon.com/blogs/storage/auditing-amazon-s3-server-side-encryption-methods-for-object-uploads/) ini menunjukkan kepada Anda cara mengaudit metode enkripsi untuk unggahan objek secara real time. Anda juga dapat mereferensikan [artikel re:Post](https://repost.aws/articles/ARhGC12rOiTBCKHcAe9GZXCA/how-to-detect-existing-use-of-sse-c-in-your-amazon-s3-buckets) ini untuk memandu Anda melalui laporan Inventaris S3 kueri untuk melihat apakah Anda memiliki objek terenkripsi SSE-C.
### Langkah-langkah
Anda dapat memblokir atau membuka blokir enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk bucket tujuan umum dengan menggunakan konsol Amazon S3, (), Amazon S3 REST API AWS Command Line Interface ,AWS CLI dan. AWS SDKs
### Menggunakan konsol S3
Untuk memblokir atau membuka blokir enkripsi SSE-C untuk bucket menggunakan konsol Amazon S3:
1. Masuk ke Konsol AWS Manajemen dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
1. Di panel navigasi kiri, pilih **ember tujuan umum**.
1. Pilih bucket yang ingin Anda blokir untuk enkripsi SSE-C.
1. Pilih tab **Properties** untuk bucket.
1. Arahkan ke panel properti **Enkripsi Default** untuk bucket dan pilih **Edit**.
1. Di bagian **Jenis enkripsi yang diblokir**, centang kotak di sebelah Enkripsi **sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk memblokir enkripsi SSE-C** atau hapus centang pada kotak ini untuk mengizinkan SSE-C.
1. Pilih **Simpan Perubahan**.
### Menggunakan AWS CLI
*Untuk menginstal AWS CLI, lihat [Menginstal AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) di Panduan Pengguna.AWS Command Line Interface *
Contoh CLI berikut menunjukkan cara memblokir atau membuka blokir enkripsi SSE-C untuk bucket tujuan umum dengan menggunakan file. AWS CLI Untuk menggunakan perintah ganti {{user input placeholders}} dengan informasi Anda sendiri.
**Permintaan untuk memblokir enkripsi SSE-C untuk bucket tujuan umum:**
```
aws s3api put-bucket-encryption \
--bucket amzn-s3-demo-bucket \
--server-side-encryption-configuration '{
"Rules": [{
"BlockEncryptionTypes": {
"EncryptionType": "SSE-C"
}
}]
}'
```
**Permintaan untuk mengaktifkan penggunaan enkripsi SSE-C pada bucket tujuan umum:**
```
aws s3api put-bucket-encryption \
--bucket amzn-s3-demo-bucket \
--server-side-encryption-configuration '{
"Rules": [{
"BlockEncryptionTypes": {
"EncryptionType": "NONE"
}
}]
}'
```
## Menggunakan AWS SDKs
------
#### [ SDK for Java 2.x ]
Contoh berikut menunjukkan kepada Anda cara memblokir atau membuka blokir enkripsi SSE-C menulis ke bucket tujuan umum Anda dengan menggunakan AWS SDKs
**Contoh - PutBucketEncryption permintaan pengaturan konfigurasi enkripsi default ke SSE-S3 dan memblokir SSE-C**
```
S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
.builder()
.sseAlgorithm(ServerSideEncryption.AES256)
.build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
.builder()
.encryptionType(EncryptionType.SSE_C)
.build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
.applyServerSideEncryptionByDefault(defaultSse)
.blockedEncryptionTypes(blockedEncryptionTypes)
.build();
s3Client.putBucketEncryption(be -> be
.bucket(bucketName)
.serverSideEncryptionConfiguration(c -> c.rules(rule)));
```
**Contoh - PutBucketEncryption permintaan pengaturan konfigurasi enkripsi default ke SSE-S3 dan membuka blokir SSE-C**
```
S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
.builder()
.sseAlgorithm(ServerSideEncryption.AES256)
.build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
.builder()
.encryptionType(EncryptionType.NONE)
.build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
.applyServerSideEncryptionByDefault(defaultSse)
.blockedEncryptionTypes(blockedEncryptionTypes)
.build();
s3Client.putBucketEncryption(be -> be
.bucket(bucketName)
.serverSideEncryptionConfiguration(c -> c.rules(rule)));
```
------
#### [ SDK for Python Boto3 ]
**Contoh - PutBucketEncryption permintaan pengaturan konfigurasi enkripsi default ke SSE-S3 dan memblokir SSE-C**
```
s3 = boto3.client("s3")
s3.put_bucket_encryption(
Bucket="amzn-s3-demo-bucket",
ServerSideEncryptionConfiguration={
"Rules":[{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "AES256"
},
"BlockedEncryptionTypes": {
"EncryptionType": ["SSE-C"]
}
}]
}
)
```
**Contoh - PutBucketEncryption permintaan pengaturan konfigurasi enkripsi default ke SSE-S3 dan membuka blokir SSE-C**
```
s3 = boto3.client("s3")
s3.put_bucket_encryption(
Bucket="amzn-s3-demo-bucket",
ServerSideEncryptionConfiguration={
"Rules":[{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "AES256"
},
"BlockedEncryptionTypes": {
"EncryptionType": ["NONE"]
}
}]
}
)
```
------
## Penggunaan API REST
Untuk informasi tentang dukungan Amazon S3 REST API untuk memblokir atau membuka blokir enkripsi SSE-C untuk bucket tujuan umum, lihat bagian berikut di Referensi API Layanan Penyimpanan *Sederhana Amazon*:
+ [BlockedEncryptionTypes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_BlockedEncryptionTypes.html)tipe data yang digunakan dalam tipe [ServerSideEncryptionRule](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ServerSideEncryptionRule.html)data operasi [PutBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)dan [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)API.