Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan data dan enkripsi
Untuk informasi selengkapnya tentang cara mengonfigurasi enkripsi untuk bucket direktori, lihat topik berikut.
**Topics**
+ [Enkripsi di sisi server](#s3-express-ecnryption)
+ [Mengatur dan memantau enkripsi default untuk bucket direktori](s3-express-bucket-encryption.md)
+ [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket direktori](s3-express-UsingKMSEncryption.md)
+ [Enkripsi saat bergerak](#s3-express-ecnryption-transit)
+ [Penghapusan data](#s3-express-data-deletion)
## Enkripsi di sisi server
Semua bucket direktori memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket direktori secara otomatis dienkripsi saat istirahat. Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket direktori. Jika Anda ingin menentukan jenis enkripsi yang berbeda, Anda dapat menggunakan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS), dengan mengatur konfigurasi enkripsi default bucket. Untuk informasi selengkapnya tentang SSE-KMS di bucket direktori, lihat. [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket direktori](s3-express-UsingKMSEncryption.md)
Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam `CreateSession` permintaan atau permintaan `PUT` objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat [Menentukan enkripsi sisi server dengan unggahan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) objek baru. AWS KMS
SSE-KMS dengan bucket direktori berbeda dari SSE-KMS dalam bucket tujuan umum dalam aspek-aspek berikut.
+ Konfigurasi SSE-KMS Anda hanya dapat mendukung 1 [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per bucket direktori selama masa pakai bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) tidak didukung. Selain itu, setelah menentukan kunci terkelola pelanggan untuk SSE-KMS, Anda tidak dapat mengganti kunci terkelola pelanggan untuk konfigurasi SSE-KMS bucket.
Anda dapat mengidentifikasi kunci terkelola pelanggan yang Anda tentukan untuk konfigurasi SSE-KMS bucket, dengan cara berikut:
+ Anda membuat permintaan operasi `HeadObject` API untuk menemukan nilai `x-amz-server-side-encryption-aws-kms-key-id` dalam respons Anda.
Untuk menggunakan kunci terkelola pelanggan baru untuk data Anda, sebaiknya salin objek yang ada ke bucket direktori baru dengan kunci terkelola pelanggan baru.
+ Untuk [operasi API titik akhir Zonal (tingkat objek)](s3-express-differences.md#s3-express-differences-api-operations) kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), Anda mengautentikasi dan mengotorisasi permintaan melalui latensi rendah. [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam `CreateSession` permintaan atau permintaan `PUT` objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Kemudian, ketika sesi dibuat untuk operasi API titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE-KMS dan S3 Bucket Keys selama sesi berlangsung. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat [Menentukan enkripsi sisi server dengan unggahan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) objek baru. AWS KMS
Dalam panggilan API titik akhir Zonal (kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), Anda tidak dapat mengganti nilai setelan enkripsi (`x-amz-server-side-encryption`,, `x-amz-server-side-encryption-aws-kms-key-id``x-amz-server-side-encryption-context`, dan`x-amz-server-side-encryption-bucket-key-enabled`) dari permintaan. `CreateSession` Anda tidak perlu secara eksplisit menentukan nilai setelan enkripsi ini dalam panggilan API titik akhir Zonal, dan Amazon S3 akan menggunakan nilai pengaturan enkripsi dari `CreateSession` permintaan untuk melindungi objek baru di bucket direktori.
**catatan**
Saat Anda menggunakan AWS CLI atau AWS SDKs, for`CreateSession`, token sesi akan diperbarui secara otomatis untuk menghindari gangguan layanan saat sesi berakhir. Konfigurasi enkripsi default bucket AWS CLI atau AWS SDKs gunakan untuk `CreateSession` permintaan tersebut. Itu tidak didukung untuk mengganti nilai pengaturan enkripsi dalam `CreateSession` permintaan. Selain itu, dalam panggilan API titik akhir Zonal (kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), itu tidak didukung untuk mengganti nilai pengaturan enkripsi dari permintaan. `CreateSession`
+ [Untuk [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), untuk mengenkripsi salinan objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Kemudian, ketika Anda menentukan pengaturan enkripsi sisi server untuk salinan objek baru dengan SSE-KMS, Anda harus memastikan kunci enkripsi adalah kunci terkelola pelanggan yang sama dengan yang Anda tentukan untuk konfigurasi enkripsi default bucket direktori. [Untuk [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), untuk mengenkripsi salinan bagian objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Anda tidak dapat menentukan setelan enkripsi sisi server untuk salinan bagian objek baru dengan SSE-KMS di header permintaan. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Selain itu, pengaturan enkripsi yang Anda berikan dalam [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)permintaan harus sesuai dengan konfigurasi enkripsi default bucket tujuan.
+ Kunci Bucket S3 selalu diaktifkan untuk `GET` dan `PUT` beroperasi di bucket direktori dan tidak dapat dinonaktifkan. S3 Bucket Keys tidak didukung, saat Anda menyalin objek yang dienkripsi SSE-KMS dari bucket tujuan umum ke bucket direktori, dari bucket direktori ke bucket tujuan umum, atau antar-bucket direktori, melalui [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [operasi Copy dalam Operasi Batch](directory-buckets-objects-Batch-Ops.md), atau [tugas import](create-import-job.md). Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan salinan dibuat untuk objek yang dienkripsi KMS.
+ Saat Anda menentukan [kunci terkelola AWS KMS pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi di bucket direktori Anda, hanya gunakan ID kunci atau kunci ARN. Format alias kunci untuk kunci KMS tidak didukung.
Bucket direktori tidak mendukung enkripsi sisi server dua lapis dengan kunci AWS Key Management Service (AWS KMS) (DSSE-KMS), atau enkripsi sisi server dengan kunci enkripsi yang disediakan pelanggan (SSE-C).
# Mengatur dan memantau enkripsi default untuk bucket direktori
Bucket Amazon S3 mengaktifkan enkripsi bucket secara default, dan objek baru secara otomatis dienkripsi dengan menggunakan enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3). Enkripsi ini berlaku untuk semua objek baru di bucket Amazon S3 Anda, dan Anda tidak akan dikenakan biaya.
Jika Anda memerlukan kontrol lebih besar atas kunci enkripsi Anda, seperti mengelola rotasi kunci dan hibah kebijakan akses, Anda dapat memilih untuk menggunakan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS).
**catatan**
Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam `CreateSession` permintaan atau permintaan `PUT` objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat [Menentukan enkripsi sisi server dengan unggahan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) objek baru. AWS KMS
Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan). Kemudian, ketika sesi dibuat untuk operasi API titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE-KMS dan S3 Bucket Keys selama sesi berlangsung.
Saat Anda menyetel enkripsi bucket default ke SSE-KMS, Kunci Bucket S3 selalu diaktifkan untuk `GET` dan `PUT` beroperasi di bucket direktori dan tidak dapat dinonaktifkan. S3 Bucket Keys tidak didukung, saat Anda menyalin objek yang dienkripsi SSE-KMS dari bucket tujuan umum ke bucket direktori, dari bucket direktori ke bucket tujuan umum, atau antar-bucket direktori, melalui [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [operasi Copy dalam Operasi Batch](directory-buckets-objects-Batch-Ops.md), atau [tugas import](create-import-job.md). Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan salinan dibuat untuk objek yang dienkripsi KMS. Untuk informasi selengkapnya tentang cara S3 Bucket Keys mengurangi biaya AWS KMS permintaan Anda, lihat[Mengurangi biaya SSE-KMS dengan Kunci Bucket Amazon S3](bucket-key.md).
Saat Anda menentukan [kunci terkelola AWS KMS pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi di bucket direktori Anda, hanya gunakan ID kunci atau kunci ARN. Format alias kunci untuk kunci KMS tidak didukung.
Enkripsi sisi server dua lapis dengan AWS KMS kunci (DSSE-KMS) dan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) tidak didukung untuk enkripsi default di bucket direktori.
Untuk informasi selengkapnya tentang mengonfigurasi enkripsi default, lihat[Mengonfigurasi enkripsi default](default-bucket-encryption.md).
Untuk informasi lebih lanjut tentang izin yang diperlukan untuk enkripsi default, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) dalam *Referensi API Amazon Simple Storage Service*.
Anda dapat mengonfigurasi enkripsi default Amazon S3 untuk bucket S3 dengan menggunakan konsol Amazon S3, API REST AWS SDKs Amazon S3, dan (). AWS Command Line Interface AWS CLI
## Menggunakan konsol S3
**Untuk mengonfigurasi enkripsi default di bucket Amazon S3**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Di panel navigasi kiri, pilih **Bucket**.
1. Dari daftar **Bucket**, pilih nama bucket yang Anda inginkan.
1. Pilih tab **Properti**.
1. Di bawah **pengaturan enkripsi sisi server, bucket direktori menggunakan enkripsi sisi** Server dengan kunci terkelola **Amazon S3 (SSE-S3**).
1. Pilih **Simpan perubahan**.
## Menggunakan AWS CLI
Contoh ini menunjukkan cara mengonfigurasi enkripsi default dengan menggunakan SSE-S3 atau dengan menggunakan SSE-KMS dengan Kunci Bucket S3.
Untuk informasi selengkapnya tentang enkripsi default, lihat [Mengatur perilaku enkripsi sisi server default untuk bucket Amazon S3](bucket-encryption.md). Untuk informasi selengkapnya tentang menggunakan enkripsi default AWS CLI untuk mengonfigurasi, lihat [put-bucket-encryption](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-encryption.html).
**Example – Enkripsi default dengan SSE-S3**
Contoh ini mengonfigurasi enkripsi bucket default dengan kunci terkelola Amazon S3. Untuk menggunakan perintah, ganti *user input placeholders* dengan informasi Anda sendiri.
```
aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "AES256"
}
}
]
}'
```
**Example – Enkripsi default dengan SSE-KMS menggunakan Kunci Bucket S3**
Contoh ini mengonfigurasi enkripsi bucket default dengan SSE-KMS menggunakan Kunci Bucket S3. Untuk menggunakan perintah, ganti *user input placeholders* dengan informasi Anda sendiri.
```
aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "KMS-Key-ARN"
},
"BucketKeyEnabled": true
}
]
}'
```
## Penggunaan API REST
Gunakan `PutBucketEncryption` operasi REST API untuk mengatur enkripsi default dengan jenis enkripsi sisi server yang akan digunakan — SSE-S3, atau SSE-KMS.
Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html) dalam *Referensi API Amazon Simple Storage Service*.
## Menggunakan AWS SDKs
Saat menggunakan AWS SDKs, Anda dapat meminta Amazon S3 untuk digunakan AWS KMS keys untuk enkripsi sisi server. Berikut ini AWS SDKs untuk contoh Java dan .NET mengonfigurasi konfigurasi enkripsi default untuk bucket direktori dengan SSE-KMS dan S3 Bucket Key. Untuk informasi tentang lainnya SDKs, lihat [Contoh kode dan pustaka](https://aws.amazon.com/code) di Pusat AWS Pengembang.
**penting**
Saat Anda menggunakan enkripsi sisi server AWS KMS key untuk Amazon S3, Anda harus memilih kunci KMS enkripsi simetris. Amazon S3 hanya mendukung kunci KMS enkripsi simetris. Untuk informasi selengkapnya terkait kunci ini, lihat [Membuat kunci enkripsi simetris KMS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) dalam *Panduan Pengembang AWS Key Management Service *.
------
#### [ Java ]
Dengan itu AWS SDK for Java 2.x, Anda dapat meminta Amazon S3 untuk menggunakan metode AWS KMS key dengan menggunakan `applyServerSideEncryptionByDefault` metode untuk menentukan konfigurasi enkripsi default bucket direktori Anda untuk enkripsi data dengan SSE-KMS. Anda membuat kunci KMS enkripsi simetris dan menentukannya dalam permintaan.
```
import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.PutBucketEncryptionRequest;
import software.amazon.awssdk.services.s3.model.ServerSideEncryption;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionByDefault;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionConfiguration;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionRule;
public class Main {
public static void main(String[] args) {
S3Client s3 = S3Client.create();
String bucketName = "bucket-base-name--zoneid--x-s3";
String kmsKeyId = "your-kms-customer-managed-key-id";
// AWS managed KMS keys aren't supported. Only customer-managed keys are supported.
ServerSideEncryptionByDefault serverSideEncryptionByDefault = ServerSideEncryptionByDefault.builder()
.sseAlgorithm(ServerSideEncryption.AWS_KMS)
.kmsMasterKeyID(kmsKeyId)
.build();
// The bucketKeyEnabled field is enforced to be true.
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
.bucketKeyEnabled(true)
.applyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
.build();
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration = ServerSideEncryptionConfiguration.builder()
.rules(rule)
.build();
PutBucketEncryptionRequest putRequest = PutBucketEncryptionRequest.builder()
.bucket(bucketName)
.serverSideEncryptionConfiguration(serverSideEncryptionConfiguration)
.build();
s3.putBucketEncryption(putRequest);
}
}
```
Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat [Memprogram AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html) di *Panduan AWS Key Management Service Pengembang*.
Untuk contoh kode kerja mengunggah sebuah objek, lihat topik berikut ini. Untuk menggunakan contoh ini, Anda harus memperbarui contoh kode dan memberikan informasi enkripsi seperti yang ditunjukkan dalam fragmen kode sebelumnya.
+ Untuk mengunggah objek dalam operasi tunggal, lihat [Mengunggah objek ke ember direktori](directory-buckets-objects-upload.md).
+ Untuk operasi API unggahan multibagian, lihat[Menggunakan unggahan multibagian dengan bucket direktori](s3-express-using-multipart-upload.md).
------
#### [ .NET ]
Dengan itu AWS SDK untuk .NET, Anda dapat meminta Amazon S3 untuk menggunakan properti AWS KMS key dengan menggunakan `ServerSideEncryptionByDefault` properti untuk menentukan konfigurasi enkripsi default bucket direktori Anda untuk enkripsi data dengan SSE-KMS. Anda membuat kunci terkelola pelanggan enkripsi simetris dan menentukannya dalam permintaan.
```
// Set the bucket server side encryption to use AWSKMS with a customer-managed key id.
// bucketName: Name of the directory bucket. "bucket-base-name--zonsid--x-s3"
// kmsKeyId: The Id of the customer managed KMS Key. "your-kms-customer-managed-key-id"
// Returns True if successful.
public static async Task SetBucketServerSideEncryption(string bucketName, string kmsKeyId)
{
var serverSideEncryptionByDefault = new ServerSideEncryptionConfiguration
{
ServerSideEncryptionRules = new List
{
new ServerSideEncryptionRule
{
ServerSideEncryptionByDefault = new ServerSideEncryptionByDefault
{
ServerSideEncryptionAlgorithm = ServerSideEncryptionMethod.AWSKMS,
ServerSideEncryptionKeyManagementServiceKeyId = kmsKeyId
}
}
}
};
try
{
var encryptionResponse =await _s3Client.PutBucketEncryptionAsync(new PutBucketEncryptionRequest
{
BucketName = bucketName,
ServerSideEncryptionConfiguration = serverSideEncryptionByDefault,
});
return encryptionResponse.HttpStatusCode == HttpStatusCode.OK;
}
catch (AmazonS3Exception ex)
{
Console.WriteLine(ex.ErrorCode == "AccessDenied"
? $"This account does not have permission to set encryption on {bucketName}, please try again."
: $"Unable to set bucket encryption for bucket {bucketName}, {ex.Message}");
}
return false;
}
```
Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat [Memprogram AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html) di *Panduan AWS Key Management Service Pengembang*.
Untuk contoh kode kerja mengunggah sebuah objek, lihat topik berikut ini. Untuk menggunakan contoh ini, Anda harus memperbarui contoh kode dan memberikan informasi enkripsi seperti yang ditunjukkan dalam fragmen kode sebelumnya.
+ Untuk mengunggah objek dalam operasi tunggal, lihat [Mengunggah objek ke ember direktori](directory-buckets-objects-upload.md).
+ Untuk operasi API unggahan multibagian, lihat[Menggunakan unggahan multibagian dengan bucket direktori](s3-express-using-multipart-upload.md).
------
## Memantau enkripsi default untuk bucket direktori dengan AWS CloudTrail
Anda dapat melacak permintaan konfigurasi enkripsi default untuk bucket direktori Amazon S3 dengan menggunakan peristiwa. AWS CloudTrail Nama peristiwa API berikut digunakan dalam CloudTrail log:
+ `PutBucketEncryption`
+ `GetBucketEncryption`
+ `DeleteBucketEncryption`
**catatan**
EventBridge tidak didukung dalam bucket direktori.
Enkripsi sisi server dua lapis dengan kunci AWS Key Management Service (AWS KMS) (DSSE-KMS) atau enkripsi sisi server dengan kunci enkripsi yang disediakan pelanggan (SSE-C) tidak didukung dalam bucket direktori.
Untuk informasi selengkapnya tentang memantau enkripsi default dengan AWS CloudTrail, lihat[Memantau enkripsi default dengan AWS CloudTrail dan Amazon EventBridge](bucket-encryption-tracking.md).
# Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) di bucket direktori
Kontrol keamanan AWS KMS dapat membantu Anda memenuhi persyaratan kepatuhan terkait enkripsi. Anda dapat memilih untuk mengonfigurasi bucket direktori untuk menggunakan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS) dan menggunakan kunci KMS ini untuk melindungi data Anda di bucket direktori Amazon S3. Untuk informasi lebih lanjut tentang SSE-KMS, lihat [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS)](UsingKMSEncryption.md).
**Izin**
Untuk mengunggah atau mengunduh objek yang dienkripsi dengan AWS KMS key ke atau dari Amazon S3, Anda `kms:GenerateDataKey` perlu `kms:Decrypt` dan izin pada kunci. Untuk informasi selengkapnya, lihat [Mengizinkan pengguna di akun lain untuk menggunakan kunci KMS untuk operasi kriptografi](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto) di *Panduan Pengembang AWS Key Management Service *. Untuk informasi tentang AWS KMS izin yang diperlukan untuk unggahan multibagian, lihat. [API dan izin unggahan multibagian](mpuoverview.md#mpuAndPermissions)
Untuk informasi selengkapnya tentang kunci KMS untuk SSE-KMS, lihat. [Menentukan enkripsi sisi server dengan (SSE-KMS) AWS KMS](specifying-kms-encryption.md)
**Topics**
+ [AWS KMS keys](#s3-express-aws-managed-customer-managed-keys)
+ [Menggunakan SSE-KMS untuk operasi lintas akun](#s3-express-bucket-encryption-update-bucket-policy)
+ [Kunci Bucket Amazon S3](#s3-express-sse-kms-bucket-keys)
+ [Membutuhkan SSE-KMS](#s3-express-require-sse-kms)
+ [Konteks enkripsi](#s3-express-encryption-context)
+ [Mengirim permintaan untuk objek AWS KMS terenkripsi](#s3-express-aws-signature-version-4-sse-kms)
+ [Mengaudit enkripsi SSE-KMS di bucket direktori](#s3-express-bucket-encryption-sse-auditing)
+ [Menentukan enkripsi sisi server dengan AWS KMS (SSE-KMS) untuk unggahan objek baru di bucket direktori](s3-express-specifying-kms-encryption.md)
## AWS KMS keys
Konfigurasi SSE-KMS Anda hanya dapat mendukung 1 [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per bucket direktori selama masa pakai bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) tidak didukung. Selain itu, setelah menentukan kunci terkelola pelanggan untuk SSE-KMS, Anda tidak dapat mengganti kunci terkelola pelanggan untuk konfigurasi SSE-KMS bucket.
Anda dapat mengidentifikasi kunci terkelola pelanggan yang Anda tentukan untuk konfigurasi SSE-KMS bucket, dengan cara berikut:
+ Anda membuat permintaan operasi `HeadObject` API untuk menemukan nilai `x-amz-server-side-encryption-aws-kms-key-id` dalam respons Anda.
Untuk menggunakan kunci terkelola pelanggan baru untuk data Anda, sebaiknya salin objek yang ada ke bucket direktori baru dengan kunci terkelola pelanggan baru.
Saat Anda menentukan [kunci terkelola AWS KMS pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi di bucket direktori Anda, hanya gunakan ID kunci atau kunci ARN. Format alias kunci untuk kunci KMS tidak didukung.
Untuk informasi selengkapnya tentang kunci KMS untuk SSE-KMS, lihat. [AWS KMS keys](UsingKMSEncryption.md#aws-managed-customer-managed-keys)
## Menggunakan SSE-KMS untuk operasi lintas akun
Saat menggunakan enkripsi untuk operasi lintas akun di bucket direktori, perhatikan hal berikut:
+ Jika Anda ingin memberikan akses lintas akun ke objek S3 Anda, konfigurasikan kebijakan kunci yang dikelola pelanggan untuk mengizinkan akses dari akun lain.
+ Untuk menentukan kunci yang dikelola pelanggan, Anda harus menggunakan ARN kunci KMS yang memenuhi syarat sepenuhnya.
## Kunci Bucket Amazon S3
Kunci Bucket S3 selalu diaktifkan untuk `GET` dan `PUT` beroperasi di bucket direktori dan tidak dapat dinonaktifkan. S3 Bucket Keys tidak didukung, saat Anda menyalin objek yang dienkripsi SSE-KMS dari bucket tujuan umum ke bucket direktori, dari bucket direktori ke bucket tujuan umum, atau antar-bucket direktori, melalui [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [operasi Copy dalam Operasi Batch](directory-buckets-objects-Batch-Ops.md), atau [tugas import](create-import-job.md). Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan salinan dibuat untuk objek yang dienkripsi KMS.
Untuk [operasi API titik akhir Zonal (tingkat objek)](s3-express-differences.md#s3-express-differences-api-operations) kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), Anda mengautentikasi dan mengotorisasi permintaan melalui latensi rendah. [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam `CreateSession` permintaan atau permintaan `PUT` objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. [Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Kemudian, ketika sesi dibuat untuk operasi API titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE-KMS dan S3 Bucket Keys selama sesi berlangsung. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat [Menentukan enkripsi sisi server dengan unggahan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) objek baru. AWS KMS
Kunci Bucket S3 digunakan untuk jangka waktu terbatas dalam Amazon S3, yang selanjutnya mengurangi kebutuhan Amazon S3 untuk membuat permintaan AWS KMS untuk menyelesaikan operasi enkripsi. Untuk informasi selengkapnya tentang penggunaan S3 Bucket Keys, lihat [Kunci Bucket Amazon S3](UsingKMSEncryption.md#sse-kms-bucket-keys) dan[Mengurangi biaya SSE-KMS dengan Kunci Bucket Amazon S3](bucket-key.md).
## Membutuhkan SSE-KMS
Untuk mewajibkan SSE-KMS dari semua objek dalam bucket direktori tertentu, Anda dapat menggunakan kebijakan bucket. Misalnya, saat Anda menggunakan operasi `CreateSession` API untuk memberikan izin mengunggah objek baru (`PutObject`,, dan`CreateMultipartUpload`)`CopyObject`, kebijakan bucket berikut menolak izin objek upload (`s3express:CreateSession`) kepada semua orang jika `CreateSession` permintaan tidak menyertakan `x-amz-server-side-encryption-aws-kms-key-id` header yang meminta SSE-KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"UploadObjectPolicy",
"Statement":[{
"Sid":"DenyObjectsThatAreNotSSEKMS",
"Effect":"Deny",
"Principal":"*",
"Action":"s3express:CreateSession",
"Resource":"arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
"Condition":{
"Null":{
"s3express:x-amz-server-side-encryption-aws-kms-key-id":"true"
}
}
}
]
}
```
------
Untuk mengharuskan seseorang AWS KMS key digunakan untuk mengenkripsi objek dalam ember, Anda dapat menggunakan kunci `s3express:x-amz-server-side-encryption-aws-kms-key-id` kondisi. Untuk menentukan kunci KMS, Anda harus menggunakan kunci Amazon Resource Name (ARN) yang ada dalam `arn:aws:kms:region:acct-id:key/key-id` format. AWS Identity and Access Management tidak memvalidasi jika string untuk `s3express:x-amz-server-side-encryption-aws-kms-key-id` ada. ID AWS KMS kunci yang digunakan Amazon S3 untuk enkripsi objek harus cocok dengan ID AWS KMS kunci dalam kebijakan, jika tidak Amazon S3 menolak permintaan tersebut.
Untuk informasi selengkapnya tentang cara menggunakan SSE-KMS untuk upload objek baru, lihat. [Menentukan enkripsi sisi server dengan AWS KMS (SSE-KMS) untuk unggahan objek baru di bucket direktori](s3-express-specifying-kms-encryption.md)
Untuk daftar lengkap kunci kondisi khusus untuk bucket direktori, lihat[Mengotorisasi operasi API endpoint Regional dengan IAM](s3-express-security-iam.md).
## Konteks enkripsi
Untuk bucket direktori, *konteks enkripsi* adalah sekumpulan pasangan kunci-nilai yang berisi informasi kontekstual tentang data. Nilai konteks enkripsi tambahan tidak didukung. Untuk informasi selengkapnya tentang konteks enkripsi, lihat[Konteks enkripsi](UsingKMSEncryption.md#encryption-context).
Secara default, jika Anda menggunakan SSE-KMS pada bucket direktori, Amazon S3 menggunakan bucket Amazon Resource Name (ARN) sebagai pasangan konteks enkripsi:
```
arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3
```
Pastikan kebijakan IAM atau kebijakan AWS KMS utama Anda menggunakan ARN bucket Anda sebagai konteks enkripsi.
Anda dapat memberikan pasangan konteks enkripsi eksplisit secara opsional dengan menggunakan `x-amz-server-side-encryption-context` header dalam permintaan API titik akhir Zonal, seperti. [ CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html#API_CreateSession_RequestSyntax) Nilai header ini adalah string yang dikodekan Base64 dari JSON yang dikodekan UTF-8, yang berisi konteks enkripsi sebagai pasangan nilai kunci. Untuk bucket direktori, konteks enkripsi harus sesuai dengan konteks enkripsi default — bucket Amazon Resource Name (ARN). Juga, karena konteks enkripsi tidak dienkripsi, pastikan itu tidak menyertakan informasi sensitif.
Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi dan mengategorikan operasi kriptografi Anda. Anda juga dapat menggunakan nilai ARN konteks enkripsi default untuk melacak permintaan yang relevan AWS CloudTrail dengan melihat bucket direktori ARN mana yang digunakan dengan kunci enkripsi mana.
Di `requestParameters` bidang file CloudTrail log, jika Anda menggunakan SSE-KMS pada bucket direktori, nilai konteks enkripsi adalah ARN bucket.
```
"encryptionContext": {
"aws:s3express:arn": "arn:aws:s3:::arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
}
```
Selain itu, untuk enkripsi objek dengan SSE-KMS di bucket direktori, AWS KMS CloudTrail peristiwa Anda mencatat ARN bucket Anda alih-alih ARN objek Anda.
## Mengirim permintaan untuk objek AWS KMS terenkripsi
Bucket direktori hanya dapat diakses melalui HTTPS (TLS). Selain itu, bucket direktori menandatangani permintaan dengan menggunakan AWS Signature Version 4 (SigV4). Untuk informasi selengkapnya tentang mengirim permintaan untuk objek AWS KMS terenkripsi, lihat. [Mengirim permintaan untuk objek AWS KMS terenkripsi](UsingKMSEncryption.md#aws-signature-version-4-sse-kms)
Jika objek Anda menggunakan SSE-KMS, jangan mengirim header permintaan enkripsi untuk permintaan `GET` dan permintaan `HEAD`. Jika tidak, Anda akan mendapatkan kesalahan HTTP 400 Bad Request.
## Mengaudit enkripsi SSE-KMS di bucket direktori
Untuk mengaudit penggunaan AWS KMS kunci Anda untuk data terenkripsi SSE-KMS Anda, Anda dapat menggunakan log. AWS CloudTrail Anda bisa mendapatkan wawasan tentang [operasi kriptografi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations) Anda, seperti [https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html)dan [https://docs.aws.amazon.com/kms/latest/developerguide/ct-decrypt.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-decrypt.html). CloudTrail mendukung banyak [nilai atribut](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) untuk memfilter pencarian Anda, termasuk nama acara, nama pengguna, dan sumber acara.
**Topics**
+ [AWS KMS keys](#s3-express-aws-managed-customer-managed-keys)
+ [Menggunakan SSE-KMS untuk operasi lintas akun](#s3-express-bucket-encryption-update-bucket-policy)
+ [Kunci Bucket Amazon S3](#s3-express-sse-kms-bucket-keys)
+ [Membutuhkan SSE-KMS](#s3-express-require-sse-kms)
+ [Konteks enkripsi](#s3-express-encryption-context)
+ [Mengirim permintaan untuk objek AWS KMS terenkripsi](#s3-express-aws-signature-version-4-sse-kms)
+ [Mengaudit enkripsi SSE-KMS di bucket direktori](#s3-express-bucket-encryption-sse-auditing)
+ [Menentukan enkripsi sisi server dengan AWS KMS (SSE-KMS) untuk unggahan objek baru di bucket direktori](s3-express-specifying-kms-encryption.md)
# Menentukan enkripsi sisi server dengan AWS KMS (SSE-KMS) untuk unggahan objek baru di bucket direktori
Untuk bucket direktori, untuk mengenkripsi data Anda dengan enkripsi sisi server, Anda dapat menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) (default) atau enkripsi sisi server dengan () kunci (SSE-KMS). AWS Key Management Service AWS KMS Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam `CreateSession` permintaan atau permintaan `PUT` objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat [Menentukan enkripsi sisi server dengan unggahan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) objek baru. AWS KMS
Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat sedang tidak aktif. Enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Jika Anda ingin menentukan jenis enkripsi yang berbeda untuk bucket direktori, Anda dapat menggunakan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS). Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). [Kunci yang dikelola AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) tidak didukung. Konfigurasi SSE-KMS Anda hanya dapat mendukung 1 [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per bucket direktori selama masa pakai bucket. Setelah menentukan kunci terkelola pelanggan untuk SSE-KMS, Anda tidak dapat mengganti kunci terkelola pelanggan untuk konfigurasi SSE-KMS bucket. Kemudian, ketika Anda menentukan pengaturan enkripsi sisi server untuk objek baru dengan SSE-KMS, Anda harus memastikan kunci enkripsi adalah kunci terkelola pelanggan yang sama dengan yang Anda tentukan untuk konfigurasi enkripsi default bucket direktori. Untuk menggunakan kunci terkelola pelanggan baru untuk data Anda, sebaiknya salin objek yang ada ke bucket direktori baru dengan kunci terkelola pelanggan baru.
Anda dapat menerapkan enkripsi saat mengunggah objek baru, atau menyalin objek yang sudah ada. Jika Anda mengubah enkripsi objek, sebuah objek baru akan dibuat untuk menggantikan objek yang lama.
Anda dapat menentukan SSE-KMS dengan menggunakan operasi REST API, AWS SDKs, dan (). AWS Command Line Interface AWS CLI
**catatan**
Untuk bucket direktori, perilaku utama enkripsi adalah sebagai berikut:
Saat Anda menggunakan [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)REST API untuk mengautentikasi dan mengotorisasi permintaan API titik akhir Zonal kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), Anda dapat mengganti pengaturan enkripsi ke SSE-S3 atau ke SSE-KMS hanya jika Anda menetapkan enkripsi default bucket dengan SSE-KMS sebelumnya.
Bila Anda menggunakan [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)dengan AWS CLI atau AWS SDKs untuk mengautentikasi dan mengotorisasi permintaan API titik akhir Zonal kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), Anda tidak dapat mengganti pengaturan enkripsi sama sekali.
Ketika Anda membuat [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)permintaan, Anda dapat mengganti pengaturan enkripsi ke SSE-S3 atau ke SSE-KMS hanya jika Anda menetapkan enkripsi default bucket dengan SSE-KMS sebelumnya. Saat Anda membuat [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)permintaan, Anda tidak dapat mengganti pengaturan enkripsi.
Anda dapat menggunakan Multi-wilayah AWS KMS keys di Amazon S3. Namun, Amazon S3 saat ini memperlakukan kunci multi-Wilayah selayaknya kunci satu Wilayah, dan tidak menggunakan fitur multi-Wilayah dari kunci tersebut. Untuk informasi selengkapnya, lihat [ Menggunakan kunci multi-Wilayah](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) di *Panduan Pengembang AWS Key Management Service *.
Jika Anda ingin menggunakan kunci KMS yang dimiliki oleh akun lain, Anda harus memiliki izin untuk menggunakan kunci tersebut. Untuk informasi selengkapnya tentang izin lintas akun untuk kunci KMS, lihat [Membuat kunci KMS yang dapat digunakan oleh akun lain](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) di *Panduan Pengembang AWS Key Management Service *.
## Penggunaan API REST
**catatan**
Hanya 1 [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) yang didukung per bucket direktori selama masa pakai bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) tidak didukung. Setelah menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket dengan kunci terkelola pelanggan, Anda tidak dapat mengubah kunci terkelola pelanggan untuk konfigurasi SSE-KMS bucket.
Untuk [operasi API titik akhir Zonal (tingkat objek)](s3-express-differences.md#s3-express-differences-api-operations) kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), Anda mengautentikasi dan mengotorisasi permintaan melalui latensi rendah. [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam `CreateSession` permintaan atau permintaan `PUT` objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Kemudian, ketika sesi dibuat untuk operasi API titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE-KMS dan S3 Bucket Keys selama sesi berlangsung. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat [Menentukan enkripsi sisi server dengan unggahan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) objek baru. AWS KMS
Dalam panggilan API titik akhir Zonal (kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)) menggunakan REST API, Anda tidak dapat mengganti nilai setelan enkripsi (`x-amz-server-side-encryption`,, `x-amz-server-side-encryption-aws-kms-key-id``x-amz-server-side-encryption-context`, dan`x-amz-server-side-encryption-bucket-key-enabled`) dari permintaan. `CreateSession` Anda tidak perlu secara eksplisit menentukan nilai setelan enkripsi ini dalam panggilan API titik akhir Zonal, dan Amazon S3 akan menggunakan nilai pengaturan enkripsi dari `CreateSession` permintaan untuk melindungi objek baru di bucket direktori.
**catatan**
Saat Anda menggunakan AWS CLI atau AWS SDKs, for`CreateSession`, token sesi akan diperbarui secara otomatis untuk menghindari gangguan layanan saat sesi berakhir. Konfigurasi enkripsi default bucket AWS CLI atau AWS SDKs gunakan untuk `CreateSession` permintaan tersebut. Itu tidak didukung untuk mengganti nilai pengaturan enkripsi dalam `CreateSession` permintaan. Selain itu, dalam panggilan API titik akhir Zonal (kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), tidak didukung untuk mengganti nilai pengaturan enkripsi dari permintaan. `CreateSession`
[Untuk [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), untuk mengenkripsi salinan objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Kemudian, ketika Anda menentukan pengaturan enkripsi sisi server untuk salinan objek baru dengan SSE-KMS, Anda harus memastikan kunci enkripsi adalah kunci terkelola pelanggan yang sama dengan yang Anda tentukan untuk konfigurasi enkripsi default bucket direktori. [Untuk [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), untuk mengenkripsi salinan bagian objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Anda tidak dapat menentukan setelan enkripsi sisi server untuk salinan bagian objek baru dengan SSE-KMS di header permintaan. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Selain itu, pengaturan enkripsi yang Anda berikan dalam [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)permintaan harus sesuai dengan konfigurasi enkripsi default bucket tujuan.
**Topics**
+ [Operasi API REST Amazon S3 yang mendukung SSE-KMS](#s3-express-sse-request-headers-kms)
+ [Konteks enkripsi (`x-amz-server-side-encryption-context`)](#s3-express-s3-kms-encryption-context)
+ [AWS KMS ID kunci (`x-amz-server-side-encryption-aws-kms-key-id`)](#s3-express-s3-kms-key-id-api)
+ [Kunci Bucket S3 () `x-amz-server-side-encryption-aws-bucket-key-enabled`](#s3-express-bucket-key-api)
### Operasi API REST Amazon S3 yang mendukung SSE-KMS
Operasi REST API tingkat objek berikut dalam bucket direktori menerima header`x-amz-server-side-encryption`,`x-amz-server-side-encryption-aws-kms-key-id`, dan `x-amz-server-side-encryption-context` permintaan.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)— Saat Anda menggunakan operasi API titik akhir Zonal (tingkat objek) (kecuali CopyObject dan UploadPartCopy), Anda dapat menentukan header permintaan ini.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)–Saat Anda mengunggah data dengan menggunakan operasi API `PUT`, Anda dapat menentukan header permintaan ini.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)–Saat Anda menyalin objek, Anda memiliki objek sumber dan objek target. Ketika Anda melewati header SSE-KMS dengan `CopyObject` operasi, mereka hanya diterapkan ke objek target.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)— Saat Anda mengunggah objek besar dengan menggunakan operasi API unggahan multibagian, Anda dapat menentukan header ini. Anda menentukan header ini dalam `CreateMultipartUpload` permintaan.
Header respons dari operasi API REST berikut mengembalikan header `x-amz-server-side-encryption` saat objek disimpan menggunakan enkripsi di sisi server.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
**penting**
Semua `GET` dan `PUT` permintaan untuk objek yang dilindungi oleh AWS KMS gagal jika Anda tidak membuat permintaan ini dengan menggunakan Transport Layer Security (TLS), atau Signature Version 4.
Jika objek Anda menggunakan SSE-KMS, jangan mengirim header permintaan enkripsi untuk `GET` permintaan dan `HEAD` permintaan, atau Anda akan mendapatkan kesalahan HTTP 400. BadRequest
### Konteks enkripsi (`x-amz-server-side-encryption-context`)
Jika Anda menentukan`x-amz-server-side-encryption:aws:kms`, Amazon S3 API mendukung Anda untuk secara opsional menyediakan konteks enkripsi eksplisit dengan header. `x-amz-server-side-encryption-context` Untuk bucket direktori, konteks enkripsi adalah sekumpulan pasangan kunci-nilai yang berisi informasi kontekstual tentang data. Nilai harus sesuai dengan konteks enkripsi default — bucket Amazon Resource Name (ARN). Nilai konteks enkripsi tambahan tidak didukung.
Untuk informasi tentang konteks enkripsi dalam bucket direktori, lihat[Konteks enkripsi](s3-express-UsingKMSEncryption.md#s3-express-encryption-context). Untuk informasi umum tentang konteks enkripsi, lihat [AWS Key Management Service Konsep-Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) dalam *Panduan Pengembang AWS Key Management Service *.
### AWS KMS ID kunci (`x-amz-server-side-encryption-aws-kms-key-id`)
Anda dapat menggunakan header `x-amz-server-side-encryption-aws-kms-key-id` untuk menentukan ID CMK, yang digunakan untuk melindungi data.
Konfigurasi SSE-KMS Anda hanya dapat mendukung 1 [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per bucket direktori selama masa pakai bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) tidak didukung. Selain itu, setelah menentukan kunci terkelola pelanggan untuk SSE-KMS, Anda tidak dapat mengganti kunci terkelola pelanggan untuk konfigurasi SSE-KMS bucket.
Anda dapat mengidentifikasi kunci terkelola pelanggan yang Anda tentukan untuk konfigurasi SSE-KMS bucket, dengan cara berikut:
+ Anda membuat permintaan operasi `HeadObject` API untuk menemukan nilai `x-amz-server-side-encryption-aws-kms-key-id` dalam respons Anda.
Untuk menggunakan kunci terkelola pelanggan baru untuk data Anda, sebaiknya salin objek yang ada ke bucket direktori baru dengan kunci terkelola pelanggan baru.
Untuk informasi tentang konteks enkripsi dalam bucket direktori, lihat[AWS KMS keys](s3-express-UsingKMSEncryption.md#s3-express-aws-managed-customer-managed-keys).
### Kunci Bucket S3 () `x-amz-server-side-encryption-aws-bucket-key-enabled`
Kunci Bucket S3 selalu diaktifkan untuk `GET` dan `PUT` beroperasi di bucket direktori dan tidak dapat dinonaktifkan. S3 Bucket Keys tidak didukung, saat Anda menyalin objek yang dienkripsi SSE-KMS dari bucket tujuan umum ke bucket direktori, dari bucket direktori ke bucket tujuan umum, atau antar-bucket direktori, melalui [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [operasi Copy dalam Operasi Batch](directory-buckets-objects-Batch-Ops.md), atau [tugas import](create-import-job.md). Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan salinan dibuat untuk objek yang dienkripsi KMS. Untuk informasi tentang Kunci Bucket S3 di bucket direktori, lihat. [Konteks enkripsi](s3-express-UsingKMSEncryption.md#s3-express-encryption-context)
## Menggunakan AWS CLI
**catatan**
Saat Anda menggunakan AWS CLI, for`CreateSession`, token sesi akan diperbarui secara otomatis untuk menghindari gangguan layanan saat sesi kedaluwarsa. Itu tidak didukung untuk mengganti nilai pengaturan enkripsi untuk `CreateSession` permintaan. Selain itu, dalam panggilan API titik akhir Zonal (kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), tidak didukung untuk mengganti nilai pengaturan enkripsi dari permintaan. `CreateSession`
Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan). Kemudian, ketika sesi dibuat untuk operasi API titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE-KMS dan S3 Bucket Keys selama sesi berlangsung.
Untuk menggunakan contoh AWS CLI perintah berikut, ganti `user input placeholders` dengan informasi Anda sendiri.
Saat Anda mengunggah objek baru atau menyalin objek yang ada, Anda dapat menentukan penggunaan enkripsi sisi server dengan AWS KMS kunci untuk mengenkripsi data Anda. Untuk melakukan ini, gunakan `put-bucket-encryption` perintah untuk mengatur konfigurasi enkripsi default bucket direktori sebagai SSE-KMS (). `aws:kms` Secara khusus, tambahkan `--server-side-encryption aws:kms` header ke permintaan. Gunakan tombol `--ssekms-key-id example-key-id` untuk menambahkan [AWS KMS kunci terkelola pelanggan](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#customer-cmk) yang Anda buat. Jika Anda menentukan`--server-side-encryption aws:kms`, Anda harus memberikan ID AWS KMS kunci kunci yang dikelola pelanggan Anda. Bucket direktori tidak menggunakan kunci AWS terkelola. Untuk contoh perintah, lihat [Menggunakan AWS CLI](s3-express-bucket-encryption.md#s3-express-default-bucket-encryption-cli).
Kemudian, saat Anda mengunggah objek baru dengan perintah berikut, Amazon S3 menggunakan pengaturan bucket untuk enkripsi default untuk mengenkripsi objek secara default.
```
aws s3api put-object --bucket bucket-base-name--zone-id--x-s3 --key example-object-key --body filepath
```
Anda tidak perlu menambahkan `-\-bucket-key-enabled` secara eksplisit dalam perintah operasi API titik akhir Zonal Anda. Kunci Bucket S3 selalu diaktifkan untuk `GET` dan `PUT` beroperasi di bucket direktori dan tidak dapat dinonaktifkan. S3 Bucket Keys tidak didukung, saat Anda menyalin objek yang dienkripsi SSE-KMS dari bucket tujuan umum ke bucket direktori, dari bucket direktori ke bucket tujuan umum, atau antar-bucket direktori, melalui [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [operasi Copy dalam Operasi Batch](directory-buckets-objects-Batch-Ops.md), atau [tugas import](create-import-job.md). Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan salinan dibuat untuk objek yang dienkripsi KMS.
Anda dapat menyalin objek dari bucket sumber (misalnya, bucket tujuan umum) ke bucket baru (misalnya, bucket direktori) dan menggunakan enkripsi SSE-KMS untuk objek tujuan. Untuk melakukan ini, gunakan `put-bucket-encryption` perintah untuk mengatur konfigurasi enkripsi default bucket tujuan (misalnya, bucket direktori) sebagai SSE-KMS (). `aws:kms` Untuk contoh perintah, lihat [Menggunakan AWS CLI](s3-express-bucket-encryption.md#s3-express-default-bucket-encryption-cli). Kemudian, ketika Anda menyalin objek dengan perintah berikut, Amazon S3 menggunakan pengaturan bucket untuk enkripsi default untuk mengenkripsi objek secara default.
```
aws s3api copy-object --copy-source amzn-s3-demo-bucket/example-object-key --bucket bucket-base-name--zone-id--x-s3 --key example-object-key
```
## Menggunakan AWS SDKs
Saat menggunakan AWS SDKs, Anda dapat meminta Amazon S3 untuk digunakan AWS KMS keys untuk enkripsi sisi server. Contoh berikut menunjukkan bagaimana menggunakan SSE-KMS dengan AWS SDKs untuk Java dan .NET. Untuk informasi tentang lainnya SDKs, lihat [Contoh kode dan pustaka](https://aws.amazon.com/code) di Pusat AWS Pengembang.
**catatan**
Saat Anda menggunakan AWS SDKs, for`CreateSession`, token sesi akan diperbarui secara otomatis untuk menghindari gangguan layanan saat sesi kedaluwarsa. Itu tidak didukung untuk mengganti nilai pengaturan enkripsi untuk `CreateSession` permintaan. Selain itu, dalam panggilan API titik akhir Zonal (kecuali [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)dan [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), tidak didukung untuk mengganti nilai pengaturan enkripsi dari permintaan. `CreateSession`
Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE-KMS, Anda harus menentukan SSE-KMS sebagai konfigurasi enkripsi default bucket direktori dengan kunci KMS (khususnya, kunci yang dikelola pelanggan). Kemudian, ketika sesi dibuat untuk operasi API titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE-KMS dan S3 Bucket Keys selama sesi berlangsung.
Untuk informasi selengkapnya tentang penggunaan AWS SDKs untuk menyetel konfigurasi enkripsi default bucket direktori sebagai SSE-KMS, lihat. [Menggunakan AWS SDKs](s3-express-bucket-encryption.md#s3-express-kms-put-bucket-encryption-using-sdks)
**penting**
Saat Anda menggunakan enkripsi sisi server AWS KMS key untuk Amazon S3, Anda harus memilih kunci KMS enkripsi simetris. Amazon S3 hanya mendukung kunci KMS enkripsi simetris. Untuk informasi selengkapnya terkait kunci ini, lihat [Membuat kunci enkripsi simetris KMS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) dalam *Panduan Pengembang AWS Key Management Service *.
Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat [Memprogram AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html) di *Panduan AWS Key Management Service Pengembang*.
## Enkripsi saat bergerak
Bucket direktori menggunakan titik akhir API Regional dan Zonal. Bergantung pada operasi Amazon S3 API yang Anda gunakan, titik akhir Regional atau Zonal diperlukan. Anda dapat mengakses titik akhir Zonal dan Regional melalui titik akhir cloud privat virtual (VPC) gateway. Tidak dikenakan biaya tambahan untuk menggunakan titik akhir gateway. Untuk mempelajari selengkapnya tentang titik akhir API Regional dan Zonal, lihat [Jaringan untuk ember direktori](s3-express-networking.md).
## Penghapusan data
Anda dapat menghapus satu atau beberapa objek langsung dari bucket direktori Anda dengan menggunakan konsol Amazon S3,,AWS CLI() AWS SDKs AWS Command Line Interface , atau Amazon S3 REST API. Karena semua objek dalam direktori bucket Anda dikenakan biaya penyimpanan, sebaiknya hapus objek yang tidak lagi diperlukan.
Menghapus objek yang disimpan dalam sebuah bucket direktori juga secara rekursif menghapus setiap direktori induk, jika direktori induk tersebut tidak berisi objek lain selain objek yang sedang dihapus.
**catatan**
Penghapusan autentikasi multi-faktor (MFA) dan Penentuan Versi S3 tidak didukung untuk S3 Express One Zone.