Blocco o sblocco di SSE-C per un bucket per uso generico - Amazon Simple Storage Service
PermissionsConsiderazioni prima di bloccare la crittografia SSE-C

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Blocco o sblocco di SSE-C per un bucket per uso generico

La maggior parte dei casi d'uso moderni in Amazon S3 non utilizza più la crittografia lato server con chiavi fornite dal cliente (SSE-C) perché manca la flessibilità della crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) o della crittografia lato server con chiavi KMS (SSE-KMS). AWS Il requisito di SSE-C di fornire la chiave di crittografia ogni volta che interagisci con i tuoi dati crittografati SSE-C rende poco pratico condividere la tua chiave SSE-C con altri utenti, ruoli o AWS servizi che leggono i dati dai tuoi bucket S3 per operare sui tuoi dati.

Per limitare i tipi di crittografia lato server che è possibile utilizzare nei bucket generici, è possibile scegliere di bloccare le richieste di scrittura SSE-C aggiornando la configurazione di crittografia predefinita per i bucket. Questa configurazione a livello di bucket blocca le richieste di caricamento di oggetti che specificano SSE-C. Quando SSE-C è bloccato per un bucket PutObjectCopyObject, PostObject tutte le richieste di caricamento o replica multipart o multipart che specificano la crittografia SSE-C verranno rifiutate con un errore HTTP 403. AccessDenied

Questa impostazione è un parametro dell'PutBucketEncryptionAPI e può essere aggiornata anche utilizzando la console S3, la AWS CLI AWS SDKs e, se s3:PutEncryptionConfiguration disponi dell'autorizzazione.

I valori validi sonoSSE-C, che blocca la crittografia SSE-C per il bucket generico eNONE, che consente l'uso di SSE-C per le scritture nel bucket.

Importante

A partire da aprile 2026, AWS disabiliterà la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket. Inoltre, la crittografia SSE-C sarà disabilitata per tutti i bucket esistenti che non dispongono di dati crittografati SSE-C. Account AWS Con queste modifiche, le poche applicazioni che richiedono la crittografia SSE-C devono abilitare deliberatamente l'uso di SSE-C tramite l'API dopo aver creato il bucket. PutBucketEncryption In questi casi, potrebbe essere necessario aggiornare gli script di automazione, i CloudFormation modelli o altri strumenti di configurazione dell'infrastruttura per configurare queste impostazioni. Per ulteriori informazioni, consulta il post del blog AWS Storage.

Permissions

Usa l'PutBucketEncryptionAPI o la console S3 o la AWS CLI per bloccare o sbloccare i tipi di crittografia per un bucket generico. AWS SDKs È necessario disporre delle seguenti autorizzazioni:

  • s3:PutEncryptionConfiguration

Usa l'GetBucketEncryptionAPI o la console S3 o la AWS CLI per visualizzare i tipi di crittografia bloccati per un bucket generico. AWS SDKs È necessario disporre delle seguenti autorizzazioni:

  • s3:GetEncryptionConfiguration

Considerazioni prima di bloccare la crittografia SSE-C

Dopo aver bloccato SSE-C per qualsiasi bucket, si applica il seguente comportamento di crittografia:

  • Non è stata apportata alcuna modifica alla crittografia degli oggetti presenti nel bucket prima del blocco della crittografia SSE-C.

  • Dopo aver bloccato la crittografia SSE-C, è possibile continuare a effettuare GetObject HeadObject richieste su oggetti preesistenti crittografati con SSE-C purché si forniscano le intestazioni SSE-C richieste nelle richieste.

  • Quando SSE-C è bloccato per un bucket, tutte le richieste di caricamento o multiparte che specificano la PutObject crittografia CopyObject SSE-C verranno rifiutate con un errore HTTP 403. PostObject AccessDenied

  • Se un bucket di destinazione per la replica ha SSE-C bloccato e gli oggetti di origine da replicare sono crittografati con SSE-C, la replica avrà esito negativo con un errore HTTP 403. AccessDenied

Se desideri verificare se stai utilizzando la crittografia SSE-C in uno qualsiasi dei tuoi bucket prima di bloccare questo tipo di crittografia, puoi utilizzare strumenti come il monitoraggio dell'accesso ai tuoi dati. AWS CloudTrail Questo post del blog mostra come controllare i metodi di crittografia per il caricamento di oggetti in tempo reale. Puoi anche fare riferimento a questo articolo di re:Post per aiutarti a consultare i report di S3 Inventory per verificare se disponi di oggetti crittografati SSE-C.

Fasi

Puoi bloccare o sbloccare la crittografia lato server con chiavi fornite dal cliente (SSE-C) per un bucket generico utilizzando la console Amazon S3, la ( AWS Command Line Interface )AWS CLI, l'API REST di Amazon S3 e. AWS SDKs

Per bloccare o sbloccare la crittografia SSE-C per un bucket utilizzando la console Amazon S3:

  1. Accedi alla console di AWS gestione e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra, scegli bucket per uso generico.

  3. Seleziona il bucket per cui desideri bloccare la crittografia SSE-C.

  4. Seleziona la scheda Proprietà per il bucket.

  5. Passa al pannello delle proprietà di crittografia predefinita per il bucket e seleziona Modifica.

  6. Nella sezione Tipi di crittografia bloccati, seleziona la casella accanto a Crittografia lato server con chiavi fornite dal cliente (SSE-C) per bloccare la crittografia SSE-C o deseleziona questa casella per consentire SSE-C.

  7. Seleziona Salva modifiche.

Per installare la AWS CLI, consulta Installazione della AWS CLI nella Guida per l'utente.AWS Command Line Interface

Il seguente esempio CLI mostra come bloccare o sbloccare la crittografia SSE-C per un bucket generico utilizzando il. AWS CLI Per utilizzare il comando, sostituiscilo con le tue informazioniuser input placeholders.

Richiesta di blocco della crittografia SSE-C per un bucket generico:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Richiesta di abilitazione dell'uso della crittografia SSE-C su un bucket generico:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
SDK for Java 2.x

Gli esempi seguenti mostrano come bloccare o sbloccare le scritture di crittografia SSE-C nei bucket generici utilizzando il AWS SDKs

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e bloccare SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e sbloccare SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
SDK for Python Boto3

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e bloccare SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Esempio: PutBucketEncryption richiesta di impostazione della configurazione di crittografia predefinita su SSE-S3 e sblocco di SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Per informazioni sul supporto dell'API REST di Amazon S3 per il blocco o lo sblocco della crittografia SSE-C per un bucket generico, consulta la sezione seguente nel riferimento all'API di Amazon Simple Storage Service: