View a markdown version of this page

Mengonfigurasi enkripsi default - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi enkripsi default

penting

Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di dan SDK. AWS CLI AWS Untuk informasi selengkapnya, lihat FAQ enkripsi default.

Bucket Amazon S3 memiliki enkripsi bucket yang diaktifkan secara default, dan objek baru secara otomatis dienkripsi dengan menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (). SSE-S3 Enkripsi ini berlaku untuk semua objek baru di bucket Amazon S3 Anda, dan Anda tidak akan dikenakan biaya.

Jika Anda memerlukan kontrol lebih besar atas kunci enkripsi, seperti mengelola rotasi kunci dan hibah kebijakan akses, Anda dapat memilih untuk menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) keys (), atau enkripsi sisi server dual-layer dengan keys (SSE-KMS). AWS KMS DSSE-KMS Untuk informasi lebih lanjut tentang SSE-KMS, lihatMenentukan enkripsi sisi server dengan AWS KMS (SSE-KMS). Untuk informasi lebih lanjut tentang DSSE-KMS, lihatMenggunakan enkripsi sisi server dual-layer dengan AWS KMS kunci (DSSE-KMS).

Jika Anda ingin menggunakan kunci KMS yang dimiliki oleh akun lain, Anda harus memiliki izin untuk menggunakan kunci tersebut. Untuk informasi selengkapnya tentang izin lintas akun untuk kunci KMS, lihat Membuat kunci KMS yang dapat digunakan oleh akun lain di Panduan Pengembang AWS Key Management Service .

Saat Anda menyetel enkripsi bucket default SSE-KMS, Anda juga dapat mengonfigurasi Kunci Bucket S3 untuk mengurangi biaya AWS KMS permintaan. Untuk informasi selengkapnya, lihat Mengurangi biaya SSE-KMS dengan Amazon S3 Bucket Keys.

catatan

Jika Anda menggunakan PutBucketEncryptionuntuk menyetel enkripsi bucket default SSE-KMS, Anda harus memverifikasi bahwa ID kunci KMS Anda sudah benar. Amazon S3 tidak memvalidasi ID kunci KMS yang disediakan dalam permintaan. PutBucketEncryption

Tidak ada biaya tambahan untuk menggunakan enkripsi default untuk bucket S3. Permintaan untuk mengonfigurasi perilaku enkripsi default dikenakan biaya permintaan standar Amazon S3. Untuk informasi tentang harga, lihat Harga Amazon S3. Untuk SSE-KMS dan DSSE-KMS, AWS KMS biaya berlaku dan tercantum pada AWS KMS harga.

Server-side enkripsi dengan kunci yang disediakan pelanggan (SSE-C) tidak didukung untuk enkripsi default.

Anda dapat mengonfigurasi enkripsi default Amazon S3 untuk bucket S3 dengan menggunakan konsol Amazon S3, SDK, Amazon S3 REST API AWS , dan (). AWS Command Line Interface AWS CLI

Perubahan yang perlu diingat sebelum mengaktifkan enkripsi default

Setelah Anda mengaktifkan enkripsi default untuk bucket, perilaku enkripsi berikut ini akan berlaku:

  • Tidak ada perubahan pada enkripsi objek yang ada dalam bucket sebelum enkripsi default-nya diaktifkan.

  • Saat Anda mengunggah objek setelah mengaktifkan enkripsi default:

    • Jika header permintaan PUT tidak mencakup informasi enkripsi, Amazon S3 akan menggunakan pengaturan enkripsi default bucket untuk mengenkripsi objek.

    • Jika header permintaan PUT mencakup informasi enkripsi, Amazon S3 menggunakan informasi enkripsi dari permintaan PUT untuk mengenkripsi objek sebelum menyimpannya di Amazon S3.

  • Jika Anda menggunakan DSSE-KMS opsi SSE-KMS atau untuk konfigurasi enkripsi default Anda, Anda tunduk pada kuota permintaan per detik (RPS). AWS KMS Untuk informasi selengkapnya tentang kuota AWS KMS dan cara meminta kenaikan kuota, lihat Kuota di Panduan Pengembang AWS Key Management Service .

  • Jika bucket ini digunakan sebagai tujuan pencatatan akses server, bucket tujuan harus menggunakan kunci terkelola Amazon S3 ()SSE-S3. Jika bucket tujuan menggunakan enkripsi SSE-KMS default, Amazon S3 mungkin mengirimkan objek log yang dienkripsi dengan kunci yang tidak dapat Anda akses. Untuk mengatasinya, ubah enkripsi default bucket tujuan menjadi SSE-S3. Untuk informasi selengkapnya tentang pencatatan log akses server, lihat Pencatatan permintaan dengan pencatatan akses server.

catatan

Objek yang diunggah sebelum enkripsi default diaktifkan tidak akan dienkripsi. Untuk informasi tentang mengenkripsi objek yang ada, lihat Mengatur perilaku enkripsi sisi server default untuk bucket Amazon S3.

Untuk mengonfigurasi enkripsi default di bucket Amazon S3

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi kiri, pilih Bucket.

  3. Dari daftar Bucket, pilih nama bucket yang Anda inginkan.

  4. Pilih tab Properti.

  5. Di bagian bawah Enkripsi default, pilih Edit.

  6. Untuk mengonfigurasi enkripsi default, di bawah Jenis enkripsi, pilih salah satu dari berikut ini:

    • Server-side enkripsi dengan kunci terkelola Amazon S3 () SSE-S3

    • Server-side enkripsi dengan AWS Key Management Service kunci (SSE-KMS)

    • Dual-layer enkripsi sisi server dengan AWS Key Management Service kunci () DSSE-KMS

      penting

      Jika Anda menggunakan DSSE-KMS opsi SSE-KMS atau untuk konfigurasi enkripsi default Anda, Anda tunduk pada kuota permintaan per detik (RPS). AWS KMSUntuk informasi selengkapnya tentang AWS KMS kuota dan cara meminta kenaikan kuota, lihat Kuota di Panduan Pengembang AWS Key Management Service .

    Bucket dan objek baru dienkripsi secara default dengan SSE-S3, kecuali Anda menentukan jenis enkripsi default lain untuk bucket Anda. Untuk informasi selengkapnya tentang enkripsi default, lihat Mengatur perilaku enkripsi sisi server default untuk bucket Amazon S3.

    Untuk informasi selengkapnya tentang penggunaan enkripsi di sisi server Amazon S3 guna mengenkripsi data Anda, lihat Menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 () SSE-S3.

  7. Jika Anda memilih Server-side enkripsi dengan AWS Key Management Service kunci (SSE-KMS) atau enkripsi Dual-layer sisi server dengan AWS Key Management Service kunci (DSSE-KMS), lakukan hal berikut:

    1. Di bawah AWS KMS kunci, tentukan kunci KMS Anda dengan salah satu cara berikut ini:

      • Untuk memilih dari daftar kunci KMS yang tersedia, pilih Pilih dari Anda AWS KMS keys, dan pilih kunci KMS Anda dari daftar kunci yang tersedia.

        Kunci Kunci yang dikelola AWS (aws/s3) dan kunci terkelola pelanggan Anda muncul dalam daftar ini. Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat Kunci dan AWS kunci pelanggan di Panduan AWS Key Management Service Pengembang.

      • Untuk memasukkan ARN kunci KMS, pilih Masukkan AWS KMS key ARN, dan masukkan ARN kunci KMS Anda di bidang yang muncul.

      • Untuk membuat kunci terkelola pelanggan baru di AWS KMS konsol, pilih Buat kunci KMS.

        Untuk informasi selengkapnya tentang membuat AWS KMS key, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.

      penting

      Anda hanya dapat menggunakan tombol KMS yang diaktifkan Wilayah AWS sama dengan bucket. Saat memilih Pilih dari kunci KMS Anda, konsol S3 hanya mencantumkan 100 kunci KMS per Wilayah. Jika Anda memiliki lebih dari 100 tombol KMS di Wilayah yang sama, Anda hanya dapat melihat 100 kunci KMS pertama di konsol S3. Untuk menggunakan kunci KMS yang tidak terdaftar di konsol, pilih Masukkan ARN AWS KMS key , dan masukkan ARN kunci KMS.

      Saat Anda menggunakan enkripsi sisi server AWS KMS key untuk Amazon S3, Anda harus memilih kunci KMS enkripsi simetris. Amazon S3 hanya mendukung kunci KMS enkripsi simetris. Untuk informasi selengkapnya terkait kunci ini, lihat Membuat kunci enkripsi simetris KMS dalam Panduan Pengembang AWS Key Management Service .

      Untuk informasi selengkapnya tentang penggunaan SSE-KMS dengan Amazon S3, lihat. Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) Untuk informasi selengkapnya tentang penggunaan DSSE-KMS, lihatMenggunakan enkripsi sisi server dual-layer dengan AWS KMS kunci (DSSE-KMS).

    2. Saat mengonfigurasi bucket untuk menggunakan enkripsi default SSE-KMS, Anda juga dapat mengaktifkan Kunci Bucket S3. S3 Bucket Keys menurunkan biaya enkripsi dengan mengurangi lalu lintas permintaan dari Amazon S3 ke. AWS KMS Untuk informasi selengkapnya, lihat Mengurangi biaya SSE-KMS dengan Amazon S3 Bucket Keys.

      Untuk menggunakan Kunci Bucket S3, di bagian bawah Kunci Bucket, pilih Aktifkan.

      catatan

      Kunci Bucket S3 tidak didukung untuk DSSE-KMS.

  8. Pilih Simpan perubahan.

Contoh-contoh ini menunjukkan kepada Anda cara mengonfigurasi enkripsi default dengan menggunakan SSE-S3 atau menggunakan SSE-KMS dengan Kunci Bucket S3.

Untuk informasi selengkapnya tentang enkripsi default, lihat Mengatur perilaku enkripsi sisi server default untuk bucket Amazon S3. Untuk informasi selengkapnya tentang menggunakan enkripsi default AWS CLI untuk mengonfigurasi, lihat enkripsi put-bucket-.

contoh— Enkripsi default dengan SSE-S3

Contoh ini mengonfigurasi enkripsi bucket default dengan kunci terkelola Amazon S3.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'
contoh— Enkripsi default dengan SSE-KMS menggunakan S3 Bucket Key

Contoh ini mengonfigurasi enkripsi bucket default dengan SSE-KMS menggunakan S3 Bucket Key. 

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Gunakan PutBucketEncryption operasi REST API untuk mengaktifkan enkripsi default dan untuk mengatur jenis enkripsi sisi server yang akan digunakan—SSE-S3,, SSE-KMS atau. DSSE-KMS

Untuk informasi selengkapnya, lihat PutBucketEncryption dalam Referensi API Amazon Simple Storage Service.