Mengonfigurasi bucket Anda untuk menggunakan Kunci Bucket S3 dengan SSE-KMS untuk objek baru

Saat mengonfigurasi enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS), Anda dapat mengonfigurasi bucket untuk menggunakan Kunci Bucket S3 untuk SSE-KMS pada objek baru. S3 Bucket Keys mengurangi lalu lintas permintaan dari Amazon S3 AWS KMS ke dan mengurangi biaya SSE-KMS. Untuk informasi selengkapnya, lihat Mengurangi biaya SSE-KMS dengan Kunci Bucket Amazon S3.

Anda dapat mengonfigurasi bucket untuk menggunakan Kunci Bucket S3 untuk SSE-KMS pada objek baru menggunakan konsol Amazon S3, REST API, (), atau. AWS SDKs AWS Command Line Interface AWS CLI AWS CloudFormation Jika Anda ingin mengaktifkan atau nonaktifkan Kunci Bucket S3 untuk objek yang ada, Anda dapat menggunakan sebuah CopyObject operasi. Untuk informasi selengkapnya, lihat Mengonfigurasi Kunci Bucket S3 pada tingkat objek dan Menggunakan Operasi Batch untuk mengaktifkan Kunci Bucket S3 untuk SSE-KMS.

Saat Kunci Bucket S3 diaktifkan untuk bucket sumber atau tujuan, konteks enkripsi akan menjadi Amazon Resource Name (ARN) bucket, bukan ARN objek (misalnya, arn:aws:s3:::bucket_ARN). Anda harus memperbarui kebijakan IAM Anda untuk menggunakan ARN bucket untuk konteks enkripsi. Untuk informasi selengkapnya, lihat Replikasi dan Kunci Bucket S3.

Contoh berikut menggambarkan bagaimana Kunci Bucket S3 bekerja dengan replikasi. Untuk informasi selengkapnya, lihat Mereplikasi objek terenkripsi (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C).

Prasyarat

Sebelum mengonfigurasi bucket untuk menggunakan Kunci Bucket S3, tinjau Perubahan yang perlu diperhatikan sebelum mengaktifkan Kunci Bucket S3.

Topik

Di konsol S3, Anda dapat mengaktifkan atau nonaktifkan Kunci Bucket S3 untuk bucket baru atau yang sudah ada. Objek di konsol S3 mewarisi pengaturan Kunci Bucket S3 mereka dari konfigurasi bucket. Saat Anda mengaktifkan Kunci Bucket S3 untuk bucket Anda, objek baru yang Anda unggah ke bucket menggunakan Kunci Bucket S3 untuk SSE-KMS.

Mengunggah, menyalin, atau memodifikasi objek dalam bucket yang memiliki Kunci Bucket S3 diaktifkan

Jika Anda unggah, memodifikasi, atau menyalin objek dalam bucket yang mengaktifkan Kunci Bucket S3, pengaturan Kunci Bucket S3 untuk objek tersebut dapat diperbarui agar sesuai dengan konfigurasi bucket.

Jika sebuah objek telah mengaktifkan Kunci Bucket S3, pengaturan Kunci Bucket S3 untuk objek tersebut tidak berubah saat Anda menyalin atau memodifikasi objek. Namun, jika Anda mengubah atau menyalin objek yang tidak memiliki Kunci Bucket S3 yang diaktifkan, dan bucket tujuan memiliki konfigurasi Kunci Bucket S3, objek mewarisi pengaturan Kunci Bucket S3 bucket tujuan. Misalnya, jika objek sumber Anda tidak mengaktifkan Kunci Bucket S3 namun bucket tujuan mengaktifkan Kunci Bucket S3, Kunci Bucket S3 diaktifkan untuk objek tersebut.

Untuk mengaktifkan Kunci Bucket S3 saat Anda membuat bucket baru

Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
Di panel navigasi kiri, pilih Bucket.
Pilih Buat bucket.
Masukkan nama bucket Anda, dan pilih Wilayah AWS.
Di bawah Enkripsi default, untuk Jenis kunci enkripsi, pilih kunci AWS Key Management Service (SSE-KMS).
Di bagian bawah AWS KMS kunci, lakukan salah satu langkah berikut untuk memilih kunci KMS Anda:
- Untuk memilih dari daftar kunci KMS yang tersedia, pilih Pilih dari Anda AWS KMS keys, lalu pilih kunci KMS Anda dari daftar kunci yang tersedia.
  
  Kunci Kunci yang dikelola AWS (aws/s3) dan kunci terkelola pelanggan Anda muncul dalam daftar ini. Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat Kunci dan AWS kunci pelanggan di Panduan AWS Key Management Service Pengembang.
- Untuk memasukkan ARN kunci KMS, pilih Masukkan AWS KMS key ARN, dan masukkan ARN kunci KMS Anda di bidang yang muncul.
- Untuk membuat kunci terkelola pelanggan baru di AWS KMS konsol, pilih Buat kunci KMS.
  
  Untuk informasi selengkapnya tentang membuat AWS KMS key, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.
Pada Kunci Bucket, pilih Aktifkan.
Pilih Buat bucket.

Amazon S3 menciptakan bucket Anda dengan Kunci Bucket S3 yang diaktifkan. Objek baru yang Anda unggah ke bucket akan menggunakan Kunci Bucket S3.

Untuk menonaktifkan Kunci Bucket S3, ikuti langkah-langkah sebelumnya, dan pilih Nonaktifkan.

Cara mengaktifkan Kunci Bucket S3 untuk bucket yang ada

Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
Di panel navigasi kiri, pilih Bucket.
Di dalam daftar Bucket, pilih bucket yang ingin Anda aktifkan Kunci Bucket S3-nya.
Pilih tab Properti.
Di bagian bawah Enkripsi default, pilih Edit.
Di bawah Enkripsi default, untuk Jenis kunci enkripsi, pilih kunci AWS Key Management Service (SSE-KMS).
Di bagian bawah AWS KMS kunci, lakukan salah satu langkah berikut untuk memilih kunci KMS Anda:
- Untuk memilih dari daftar kunci KMS yang tersedia, pilih Pilih dari Anda AWS KMS keys, lalu pilih kunci KMS Anda dari daftar kunci yang tersedia.
  
  Kunci Kunci yang dikelola AWS (aws/s3) dan kunci terkelola pelanggan Anda muncul dalam daftar ini. Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat Kunci dan AWS kunci pelanggan di Panduan AWS Key Management Service Pengembang.
- Untuk memasukkan ARN kunci KMS, pilih Masukkan AWS KMS key ARN, dan masukkan ARN kunci KMS Anda di bidang yang muncul.
- Untuk membuat kunci terkelola pelanggan baru di AWS KMS konsol, pilih Buat kunci KMS.
  
  Untuk informasi selengkapnya tentang membuat AWS KMS key, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.
Pada Kunci Bucket, pilih Aktifkan.
Pilih Simpan perubahan.

Amazon S3 mengaktifkan Kunci Bucket S3 untuk objek baru yang ditambahkan ke bucket Anda. Objek yang ada tidak menggunakan Kunci Bucket S3. Untuk mengonfigurasi Kunci Bucket S3 untuk objek yang sudah ada, Anda dapat menggunakan operasi CopyObject. Untuk informasi selengkapnya, lihat Mengonfigurasi Kunci Bucket S3 pada tingkat objek.

Untuk menonaktifkan Kunci Bucket S3, ikuti langkah-langkah sebelumnya, dan pilih Nonaktifkan.

Anda dapat menggunakan PutBucketEncryptionuntuk mengaktifkan atau menonaktifkan Kunci Bucket S3 untuk bucket Anda. Untuk mengonfigurasi Kunci Bucket S3 denganPutBucketEncryption, gunakan tipe ServerSideEncryptionRuledata, yang mencakup enkripsi default dengan SSE-KMS. Anda juga dapat menggunakan CMK dengan menentukan ID kunci KMS untuk kunci yang dikelola pelanggan.

Untuk informasi selengkapnya dan contoh sintaks, lihat PutBucketEncryption.

Contoh berikut ini mengaktifkan enkripsi bucket default dengan SSE-KMS dan Kunci Bucket S3 dengan menggunakan AWS SDK untuk Java.

Contoh berikut ini mengaktifkan enkripsi bucket default dengan SSE-KMS dan Kunci Bucket S3 dengan menggunakan AWS CLI. Ganti user input placeholders dengan informasi Anda sendiri.


aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Untuk informasi selengkapnya tentang mengonfigurasi Kunci Bucket S3 dengan AWS CloudFormation, lihat AWS::S3::Bucket ServerSideEncryptionRuledi AWS CloudFormation Panduan Pengguna.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan Kunci Bucket Amazon S3

Mengonfigurasi Kunci Bucket S3 untuk sebuah objek