Permissions Considerazioni prima di bloccare SSE-C la crittografia

Blocco o sblocco SSE-C per un bucket generico

A partire da aprile 2026, Amazon S3 disabilita automaticamente la crittografia lato server con chiavi fornite dal cliente SSE-C () per tutti i nuovi bucket generici. Amazon S3 è stato inoltre disabilitato SSE-C per i bucket esistenti negli account senza SSE-C oggetti crittografati. Ciò significa che, per impostazione predefinita, le richieste di caricamento di oggetti utilizzando SSE-C vengono rifiutate con un errore HTTP AccessDenied 403.

SSE-C richiede di fornire la chiave di crittografia per ogni richiesta di lettura o scrittura di oggetti crittografati, rendendo difficile la condivisione dell'accesso con altri utenti, ruoli o AWS servizi che operano sui dati. La maggior parte dei carichi di lavoro utilizza invece la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) o chiavi AWS KMS (). SSE-KMS

Se il carico di lavoro lo richiede SSE-C, puoi abilitarlo in modo esplicito aggiornando la configurazione di crittografia predefinita per il tuo bucket. Al contrario, se disponi di bucket esistenti in cui SSE-C è ancora consentito, puoi bloccarli per impedire nuovi caricamenti. SSE-C

Quando SSE-C è bloccata per un bucket PutObject CopyObjectPostObject, qualsiasi richiesta di caricamento multiparte o di replica che specifichi la SSE-C crittografia verrà rifiutata con un errore HTTP 403. AccessDenied Gli oggetti SSE-C crittografati esistenti nel bucket non vengono modificati, ma è comunque possibile leggerli con GetObject o fornendo le intestazioni richieste. HeadObject SSE-C

Questa impostazione è un parametro dell'PutBucketEncryptionAPI e può essere aggiornata anche utilizzando la console S3, la AWS CLI o gli SDK. AWS Devi disporre dell'autorizzazione s3:PutEncryptionConfiguration.

Importante

Amazon Simple Storage Service ora applica una nuova impostazione di sicurezza predefinita per i bucket che disabilita automaticamente la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket generici. Nell'aprile 2026, Amazon S3 ha distribuito un aggiornamento in modo che tutti i nuovi bucket generici SSE-C abbiano la crittografia disabilitata per tutte le nuove richieste di scrittura. Per i bucket esistenti senza oggetti SSE-C crittografati, Amazon S3 è inoltre SSE-C disabilitato per tutte le nuove richieste di scrittura. Account AWS Con questa modifica, le applicazioni che richiedono la SSE-C crittografia devono essere abilitate deliberatamente SSE-C utilizzando l'operazione PutBucketEncryptionAPI dopo la creazione di un nuovo bucket. Per ulteriori informazioni su questa modifica, vedere. Domande frequenti SSE-C sulle impostazioni predefinite per i nuovi bucket

Permissions

Usa l'PutBucketEncryptionAPI o la console S3, gli AWS SDK o la AWS CLI per bloccare o sbloccare i tipi di crittografia per un bucket generico. È necessario disporre delle seguenti autorizzazioni:

s3:PutEncryptionConfiguration

Usa l'GetBucketEncryptionAPI o la console S3, gli AWS SDK o la CLI per visualizzare i AWS tipi di crittografia bloccati per un bucket generico. È necessario disporre delle seguenti autorizzazioni:

s3:GetEncryptionConfiguration

Considerazioni prima di bloccare SSE-C la crittografia

Dopo aver bloccato SSE-C un bucket, si applica il seguente comportamento di crittografia:

Non è stata apportata alcuna modifica alla crittografia degli oggetti presenti nel bucket prima del blocco SSE-C della crittografia.
Dopo aver bloccato SSE-C la crittografia, è possibile continuare a crittografare GetObject le HeadObject richieste relative a oggetti preesistenti, SSE-C purché si forniscano le SSE-C intestazioni richieste nelle richieste.
Quando SSE-C è bloccata per un bucket PutObject CopyObjectPostObject, qualsiasi richiesta di caricamento o multiparte che specifica la SSE-C crittografia verrà rifiutata con un errore HTTP 403. AccessDenied
Se un bucket di destinazione per la replica è SSE-C bloccato e gli oggetti di origine da replicare sono crittografati con SSE-C, la replica avrà esito negativo e verrà generato un errore HTTP 403. AccessDenied

Se desideri verificare se stai utilizzando la SSE-C crittografia in uno dei tuoi bucket prima di bloccare questo tipo di crittografia, puoi utilizzare strumenti come il monitoraggio dell'accesso AWS CloudTrailai tuoi dati. Questo post del blog mostra come controllare i metodi di crittografia per il caricamento di oggetti in tempo reale. Puoi anche fare riferimento a questo articolo di re:Post per aiutarti a consultare i report di S3 Inventory per verificare se hai oggetti crittografati. SSE-C

Fasi

Puoi bloccare o sbloccare la crittografia lato server con chiavi fornite dal cliente (SSE-C) per un bucket generico utilizzando la console Amazon S3, la () AWS Command Line Interface , l'API REST di Amazon S3 e AWS CLI gli SDK. AWS

Per bloccare o sbloccare SSE-C la crittografia per un bucket utilizzando la console Amazon S3:

Accedi alla console di AWS gestione e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.
Nel riquadro di navigazione a sinistra, scegli bucket generici.
Seleziona il bucket per cui desideri bloccare la SSE-C crittografia.
Seleziona la scheda Proprietà per il bucket.
Passa al pannello delle proprietà di crittografia predefinita per il bucket e seleziona Modifica.
Nella sezione Tipi di crittografia bloccati, seleziona la casella accanto a Server-side Crittografia con chiavi fornite dal cliente (SSE-C) per bloccare la SSE-C crittografia o deseleziona questa casella per consentire. SSE-C
Seleziona Salva modifiche.

Per installare la AWS CLI, consulta Installazione della AWS CLI nella Guida per l'utente.AWS Command Line Interface

Il seguente esempio di CLI mostra come bloccare o sbloccare la SSE-C crittografia per un bucket generico utilizzando. AWS CLI Per utilizzare il comando, sostituiscilo user input placeholders con le tue informazioni.

Richiesta di blocco della SSE-C crittografia per un bucket generico:


aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Richiesta di abilitazione dell'uso della SSE-C crittografia su un bucket generico:


aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'

SDK for Java 2.x

Gli esempi seguenti mostrano come bloccare o sbloccare la SSE-C crittografia, le scritture nei bucket generici utilizzando gli SDK. AWS

Esempio: PutBucketEncryption richiesta di impostazione e blocco della configurazione di crittografia predefinita SSE-S3 SSE-C


S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Esempio: PutBucketEncryption richiesta di impostazione SSE-S3 e sblocco della configurazione di crittografia predefinita SSE-C


S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

SDK for Python Boto3

Esempio: PutBucketEncryption richiesta di impostazione SSE-S3 e blocco della configurazione di crittografia predefinita SSE-C


s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Esempio: PutBucketEncryption richiesta di impostazione SSE-S3 e sblocco della configurazione di crittografia predefinita SSE-C


s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Per informazioni sul supporto dell'API REST di Amazon S3 per il blocco o lo sblocco della SSE-C crittografia per un bucket generico, consulta la sezione seguente nel riferimento all'API di Amazon Simple Storage Service:

BlockedEncryptionTypestipo di dati utilizzato nel tipo di ServerSideEncryptionRuledati delle operazioni PutBucketEncryptione GetBucketEncryptionAPI.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Specificando SSE-C

Domande frequenti sulle SSE-C impostazioni predefinite