# Definir o comportamento padrão da criptografia para os buckets do Amazon S3
**Importante**
O Amazon S3 agora aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. O status de criptografia automática para a configuração de criptografia padrão do bucket do S3 e para novos uploads de objetos está disponível em logs do CloudTrail, no Inventário S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS CLI e em SDKs da AWS. Para obter mais informações, consulte [Perguntas frequentes sobre criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Todos os buckets do Amazon S3 têm a criptografia configurada por padrão, e os objetos são automaticamente criptografados usando criptografia do lado do servidor, com chaves gerenciadas do Amazon S3 (SSE-S3). Essa configuração de criptografia se aplica a todos os objetos em seus buckets do Amazon S3.
Se você precisar de maior controle sobre suas chaves, como gerenciar a alternância de chaves e as concessões de políticas de acesso, poderá optar por usar a criptografia do lado do servidor chaves do AWS Key Management Service (AWS KMS) (SSE-KMS) ou a criptografia de camada dupla do lado do servidor com chaves do AWS KMS (DSSE-KMS). Para ter mais informações sobre edição de chaves do KMS, consulte [Editar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/editing-keys.html) no *Guia do desenvolvedor do AWS Key Management Service*.
**nota**
Alteramos os buckets para criptografar automaticamente uploads de novos objetos. Se você criou anteriormente um bucket sem criptografia padrão, o Amazon S3 ativará a criptografia por padrão para o bucket usando SSE-S3. Não haverá nenhuma alteração na configuração de criptografia padrão para um bucket existente que já tenha a criptografia SSE-S3 ou SSE-KMS configurada. Se quiser criptografar seus objetos com a SSE-KMS, deverá alterar o tipo de criptografia nas configurações do bucket. Para obter mais informações, consulte [Usar criptografia do lado do servidor com o AWS KMS (SSE-KMS)](UsingKMSEncryption.md).
Ao configurar seu bucket para usar criptografia padrão com a SSE-KMS, você também pode ativar o recurso de chaves de bucket do S3 para diminuir o tráfego de solicitações do Amazon S3 para o AWS KMS e reduzir o custo de criptografia. Para obter mais informações, consulte [Redução do custo do SSE-KMS com chaves de bucket do Amazon S3](bucket-key.md).
Para identificar buckets que têm SSE-KMS habilitada como criptografia padrão, você pode usar as métricas da Lente de Armazenamento do Amazon S3. A Lente de Armazenamento do S3 é um recurso de análise de armazenamento em nuvem que você pode usar para obter visibilidade em toda a organização sobre o uso e a atividade do armazenamento de objetos. Para obter mais informações, consulte [Como usar a Lente de Armazenamento do S3 para proteger seus dados](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-lens-data-protection.html?icmpid=docs_s3_user_guide_bucket-encryption.html).
Quando você usa a criptografia no lado do servidor, o Amazon S3 criptografa um objeto antes de salvá-lo no disco e o descriptografa quando você o baixa. Para ter mais informações sobre como proteger dados usando a criptografia no lado do servidor e o gerenciamento de chaves de criptografia, consulte [Proteger os dados usando criptografia do lado do servidor](serv-side-encryption.md).
Para ter mais informações sobre permissões necessárias para criptografia padrão, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) na *Referência da API do Amazon Simple Storage Service*.
Você pode configurar o comportamento da criptografia padrão do Amazon S3 para um bucket do S3 usando o console do Amazon S3, os AWS SDKs, a API REST do Amazon S3 e a AWS Command Line Interface (AWS CLI).
**Criptografar objetos existentes**
Para criptografar objetos existentes não criptografados do Amazon S3, você pode usar Operações em Lote do Amazon S3. Você fornece uma lista de objetos às operações em lote do S3 que, por sua vez, chamam a respectiva API para realizar a operação especificada. É possível usar a [operação Copy do Batch Operations](https://docs.aws.amazon.com/AmazonS3/latest/userguide/batch-ops-copy-object.html) para copiar objetos não criptografados existentes e gravá-los de volta no mesmo bucket que os objetos criptografados. Um único trabalho do Batch Operations pode realizar a operação especificada em bilhões de objetos. Para obter mais informações, consulte [Executar operações de objetos em massa com o Operações em Lote](batch-ops.md) e a publicação do *Blog de armazenamento da AWS* [Criptografia de objetos existentes com o Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/).
Você também pode criptografar objetos existentes usando a operação de API `CopyObject` ou o comando `copy-object` da AWS CLI. Para obter mais informações, consulte a publicação do *Blog de armazenamento da AWS* [Criptografia de objetos existentes do Amazon S3 com a AWS CLI](https://aws.amazon.com/blogs/storage/encrypting-existing-amazon-s3-objects-with-the-aws-cli/).
**nota**
Os buckets do Amazon S3 com criptografia definida como SSE-KMS não podem ser usados como buckets de destino para [Registrar em log as solicitações com registro em log de acesso ao servidor](ServerLogs.md). Somente a criptografia padrão SSE-S3 é suportada para buckets de destino do log de acesso do servidor.
## Usar criptografia SSE-KMS para operações entre contas
Ao utilizar a criptografia para operações entre contas, esteja ciente do seguinte:
+ Se o nome do recurso da Amazon (ARN) da AWS KMS key ou alias não for fornecido no momento da solicitação nem por meio da configuração de criptografia padrão do bucket, a Chave gerenciada pela AWS (`aws/s3`) será utilizada.
+ Se você estiver fazendo upload ou acessando objetos do S3 usando entidades principais do AWS Identity and Access Management (IAM) que estão na mesma Conta da AWS que a sua chave do KMS, poderá usar a Chave gerenciada pela AWS (`aws/s3`).
+ Se quiser conceder acesso entre contas aos seus objetos do S3, use uma chave gerenciada pelo cliente. Você pode configurar a política de uma chave gerenciada pelo cliente para permitir o acesso de outra conta.
+ Se estiver especificando uma chave do KMS gerenciada pelo cliente, recomendamos usar um ARN de chave do KMS totalmente qualificado. Se você usar um alias da chave do KMS, o AWS KMS resolverá a chave na conta do solicitante. Isso pode resultar em dados criptografados com uma chave do KMS pertencente ao solicitante, e não ao proprietário do bucket.
+ É necessário especificar uma chave para a qual você (o solicitante) recebeu a permissão `Encrypt`. Para ter mais informações, consulte [Permitir que os usuários da chave usem uma chave do KMS para operações criptográficas](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto) no *Guia do desenvolvedor do AWS Key Management Service*.
Para ter mais informações sobre quando usar as chaves gerenciadas pelo cliente e as chaves do KMS gerenciadas pela AWS, consulte [Devo usar uma Chave gerenciada pela AWS ou uma chave pelo cliente para criptografar meus objetos no Amazon S3?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-object-encryption-keys/)
## Como usar a criptografia padrão com a replicação
Ao habilitar a criptografia padrão para um bucket de destino de replicação, o seguinte comportamento de criptografia será aplicado:
+ Se os objetos no bucket de origem não estiverem criptografados, os objetos de réplica no bucket de destino serão criptografados usando as configurações de criptografia padrão do bucket de destino. Como resultado, as tags de entidade (ETags) dos objetos de origem diferem dos ETags dos objetos de réplica. Se você tiver aplicações que usam ETags, será necessário atualizar essas aplicações para considerar essa diferença.
+ Se os objetos no bucket de origem forem criptografados usando a criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3), a criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS) ou a criptografia de camada dupla do lado do servidor com chaves do AWS KMS (DSSE-KMS), os objetos de réplica no bucket de destino usarão o mesmo tipo de criptografia que os objetos de origem. As configurações de criptografia padrão do bucket de destino não são usadas.
Para obter mais informações sobre como usar a criptografia padrão com SSE-KMS, consulte [Replicar objetos criptografados](replication-config-for-kms-objects.md).
## Usar Chaves de bucket do Amazon S3 com criptografia padrão
Quando você configura seu bucket para usar a SSE-KMS como o comportamento de criptografia padrão para novos objetos, você também pode configurar chaves de bucket do S3. As chaves de bucket do S3 diminuem o número de transações do Amazon S3 para o AWS KMS a fim de reduzir o custo da SSE-KMS.
Quando você configura seu bucket para usar chaves de bucket do S3 para SSE-KMS em novos objetos, o AWS KMS gera uma chave no nível de bucket usada para criar uma [chave de dados](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) exclusiva para objetos no bucket. Essa chave de bucket do S3 é usada por um período limitado no Amazon S3, reduzindo a necessidade do Amazon S3 fazer solicitações ao AWS KMS para concluir operações de criptografia.
Para obter mais informações sobre como usar Chaves de bucket do S3, consulte [Uso de chaves de bucket do Amazon S3](bucket-key.md).
# Configurar a criptografia padrão
**Importante**
O Amazon S3 agora aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. O status de criptografia automática para a configuração de criptografia padrão do bucket do S3 e para novos uploads de objetos está disponível em logs do CloudTrail, no Inventário S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS CLI e em SDKs da AWS. Para obter mais informações, consulte [Perguntas frequentes sobre criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Os buckets do Amazon S3 têm a criptografia configurada por padrão, e os novos objetos são automaticamente criptografados usando criptografia do lado do servidor, com chaves gerenciadas do Amazon S3 (SSE-S3). Essa criptografia se aplica a todos os novos objetos em seus buckets do Amazon S3 e não tem nenhum custo para você.
Se você precisar de maior controle sobre suas chaves de criptografia, como gerenciar a alternância de chaves e as concessões de políticas de acesso, poderá optar por usar a criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS) ou a criptografia de camada dupla do lado do servidor com chaves do AWS KMS (DSSE-KMS). Para obter mais informações sobre SSE-KMS, consulte [Especificação de criptografia no lado do servidor com o AWS KMS (SSE-KMS)](specifying-kms-encryption.md). Para ter mais informações sobre DSSE-KMS, consulte [Usar criptografia de camada dupla do lado do servidor com chaves do AWS KMS (DSSE-KMS)](UsingDSSEncryption.md).
Se quiser usar uma chave do KMS que seja de propriedade de outra conta, você deverá ter permissão para usar a chave. Para obter mais informações sobre permissões entre contas para chaves do KMS, consulte [Criar chaves do KMS que outras contas podem usar](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) no *Guia do desenvolvedor do AWS Key Management Service*.
Ao definir a criptografia do bucket padrão como SSE-KMS, você também pode configurar uma chave de bucket do S3 para reduzir os custos de solicitação do AWS KMS. Para obter mais informações, consulte [Redução do custo do SSE-KMS com chaves de bucket do Amazon S3](bucket-key.md).
**nota**
Se você usa [PutBucketEncryption](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutBucketEncryption.html) para definir a criptografia de bucket padrão como SSE-KMS, é necessário verificar se o ID da chave do KMS está correto. O Amazon S3 não valida o ID da chave do KMS fornecido nas solicitações PutBucketEncryption.
Não há cobranças adicionais para usar a criptografia padrão para buckets do S3. As solicitações para configurar o comportamento de criptografia padrão geram cobranças padrão de solicitação do Amazon S3. Para obter mais informações sobre preços, consulte [Preços do Amazon S3](https://aws.amazon.com/s3/pricing/). Para a SSE-KMS e DSSE-KMS, tarifas do AWS KMS podem ser aplicadas. Elas estão listadas em [Preços do AWS KMS](https://aws.amazon.com/kms/pricing/).
A criptografia no lado do servidor com chaves fornecidas pelo cliente (SSE-C) não é compatível para criptografia padrão.
Você pode configurar a criptografia padrão do Amazon S3 para um bucket do S3 usando o console do Amazon S3, os AWS SDKs, a API REST do Amazon S3 e a AWS Command Line Interface (AWS CLI).
**Alterações feitas às observações antes de habilitar a criptografia padrão**
Depois de habilitar a criptografia padrão para um bucket, o seguinte comportamento de criptografia será aplicado:
+ Não há alteração na criptografia dos objetos que existiam no bucket antes da ativação da criptografia padrão.
+ Quando você faz upload de objetos após a ativação da criptografia padrão:
+ Se seus cabeçalhos de solicitação `PUT` não incluírem informações de criptografia, o Amazon S3 usará as configurações de criptografia padrão do bucket para criptografar os objetos.
+ Se seus cabeçalhos de solicitação `PUT` incluírem informações de criptografia, o Amazon S3 usará as informações de criptografia da solicitação `PUT` para criptografar objetos antes de armazená-los no Amazon S3.
+ Se você usar a opção SSE-KMS ou a DSSE-KMS em sua configuração de criptografia padrão, poderão ser cobradas cotas de solicitações por segundo (RPS) do AWS KMS. Para ter mais informações sobre as cotas do AWS KMS e como solicitar um aumento de cota, consulte [Cotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) no *Guia do desenvolvedor do AWS Key Management Service*.
**nota**
Os objetos carregados antes da ativação da criptografia padrão não serão criptografados. Para ter informações sobre criptografia de objetos existentes, consulte [Definir o comportamento padrão da criptografia para os buckets do Amazon S3](bucket-encryption.md).
## Usar o console do S3
**Como configurar a criptografia padrão em um bucket do Amazon S3**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Buckets**.
1. Na lista de **Buckets**, escolha o nome do bucket desejado.
1. Escolha a guia **Properties (Propriedades)**.
1. Em **Default encryption (Criptografia padrão)**, escolha **Edit (Editar)**.
1. Para configurar a criptografia padrão, em **Tipo de criptografia**, selecione uma das seguintes opções:
+ **Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)**
+ **Criptografia no lado do servidor com chaves do AWS Key Management Service (SSE-KMS)**
+ **Criptografia de camada dupla do lado do servidor com chaves do AWS Key Management Service (DSSE-KMS)**
**Importante**
Se você usar a opção SSE-KMS ou a DSSE-KMS em sua configuração de criptografia padrão, poderão ser cobradas cotas de solicitações por segundo (RPS) do AWS KMS. Para obter mais informações sobre as cotas do AWS KMS e como solicitar um aumento de cota, consulte [Cotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) no *Guia do desenvolvedor do AWS Key Management Service*.
Os buckets e novos objetos são criptografados por padrão com o SSE-S3, a menos que você especifique outro tipo de criptografia padrão para eles. Para obter mais informações sobre criptografia padrão, consulte [Definir o comportamento padrão da criptografia para os buckets do Amazon S3](bucket-encryption.md).
Para obter mais informações sobre como usar a criptografia no lado do servidor do Amazon S3 para criptografar seus dados, consulte [Usar a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)](UsingServerSideEncryption.md).
1. Se você escolheu **Criptografia do lado do servidor com chaves do AWS Key Management Service (SSE-KMS)** ou **Criptografia de camada dupla do lado do servidor com chaves do AWS Key Management Service (DSSE-KMS)**, faça o seguinte:
1. Em **Chave do AWS KMS**, especifique sua chave do KMS de uma das seguintes maneiras:
+ Para escolher entre uma lista de chaves do KMS disponíveis, selecione **Escolher entre suas AWS KMS keys** e escolha sua **chave do KMS** na lista de chaves disponíveis.
As chaves Chave gerenciada pela AWS (`aws/s3`) e as chaves gerenciadas pelo cliente são exibidas nessa lista. Para ter mais informações sobre chaves gerenciadas pelo cliente, consulte [Chaves de clientes e chaves da AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) no *Guia do desenvolvedor do AWS Key Management Service*.
+ Para inserir o ARN da chave do KMS, escolha **Inserir ARN da AWS KMS key** e insira o ARN da chave do KMS no campo exibido.
+ Para criar uma chave gerenciada pelo cliente no console do AWS KMS, selecione **Criar uma chave do KMS**.
Para ter mais informações sobre como criar uma AWS KMS key, consulte [Criação de chaves](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) no * Guia do desenvolvedor do AWS Key Management Service*.
**Importante**
Você só pode usar chaves do KMS habilitadas na mesma Região da AWS que o bucket. Quando você seleciona **Choose from your KMS keys **, (Escolher de suas chaves do KMS), o console do S3 lista somente 100 chaves do KMS por região. Se você tiver mais de 100 chaves do KMS na mesma região, será possível ver somente as primeiras 100 chaves do KMS no console do S3. Para usar uma chave do KMS que não esteja listada no console, escolha **Inserir o ARN da AWS KMS key** e insira o ARN da chave do KMS.
Ao usar uma AWS KMS key para criptografia no lado do servidor no Amazon S3, você deve escolher uma chave de criptografia do KMS simétrica. O Amazon S3 só é compatível com chaves do KMS de criptografia simétrica. Para obter mais informações sobre essas chaves, consulte [Chaves do KMS de criptografia simétrica](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) no *Guia do desenvolvedor do AWS Key Management Service*.
Para ter mais informações sobre como usar a SSE-KMS com o Amazon S3, consulte [Usar criptografia do lado do servidor com o AWS KMS (SSE-KMS)](UsingKMSEncryption.md). Para ter mais informações sobre como usar a DSSE-KMS, consulte [Usar criptografia de camada dupla do lado do servidor com chaves do AWS KMS (DSSE-KMS)](UsingDSSEncryption.md).
1. Ao configurar seu bucket para usar a criptografia padrão com a SSE-KMS, você também pode ativar a chave de bucket do S3. As chaves de bucket do S3 diminuem o custo de criptografia reduzindo o tráfego de solicitações do Amazon S3 para o AWS KMS. Para obter mais informações, consulte [Redução do custo do SSE-KMS com chaves de bucket do Amazon S3](bucket-key.md).
Para usar Chaves de bucket do S3, em **Bucket Key (Chave de bucket)**, escolha **Enable (Habilitar)**.
**nota**
As chaves de bucket do S3 não comportam DSSE-KMS.
1. Escolha **Salvar alterações**.
## Como usar o AWS CLI
Esses exemplos mostram como configurar a criptografia padrão usando SSE-S3 ou usando a SSE-KMS com uma chave de bucket do S3.
Para obter mais informações sobre criptografia padrão, consulte [Definir o comportamento padrão da criptografia para os buckets do Amazon S3](bucket-encryption.md). Para obter mais informações sobre o uso da AWS CLI para configurar a criptografia padrão, consulte [put-bucket-encryption](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-encryption.html).
**Example – Criptografia padrão com SSE-S3**
Esse exemplo configura a criptografia de bucket padrão com chaves gerenciadas pelo Amazon S3.
```
aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "AES256"
}
}
]
}'
```
**Example – Criptografia padrão com SSE-KMS usando uma chave de bucket do S3**
Esse exemplo configura a criptografia de bucket padrão com o SSE-KMS usando uma chave de bucket do S3.
```
aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "KMS-Key-ARN"
},
"BucketKeyEnabled": true
}
]
}'
```
## Uso da API REST
Use a operação `PutBucketEncryption` da API REST para habilitar a criptografia padrão e definir o tipo de criptografia do lado do servidor a ser utilizado, ou seja, SSE-S3, SSE-KMS ou DSSE-KMS.
Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html) na *Referência da API do Amazon Simple Storage Service*.
# Monitorar a criptografia padrão com o AWS CloudTrail e o Amazon EventBridge
**Importante**
O Amazon S3 agora aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. O status de criptografia automática para a configuração de criptografia padrão do bucket do S3 e para novos uploads de objetos está disponível em logs do CloudTrail, no Inventário S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS CLI e em SDKs da AWS. Para obter mais informações, consulte [Perguntas frequentes sobre criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Você pode rastrear solicitações de configuração de criptografia padrão para buckets do Amazon S3 usando eventos do AWS CloudTrail. Os seguintes nomes de eventos de API são usados nos logs do CloudTrail:
+ `PutBucketEncryption`
+ `GetBucketEncryption`
+ `DeleteBucketEncryption`
Você também pode criar regras do EventBridge que correspondam aos eventos do CloudTrail para essas chamadas de API. Para obter mais informações sobre eventos do CloudTrail, consulte [Habilitar o registro em log de objetos em um bucket usando o console](enable-cloudtrail-logging-for-s3.md#enable-cloudtrail-events). Para ter mais informações sobre eventos do EventBridge, consulte [Eventos de Serviços da AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html).
Você pode usar logs do CloudTrail para ações do Amazon S3 no nível de objeto a fim de rastrear solicitações `PUT` e `POST` para o Amazon S3. Você pode usar essas ações para verificar se a criptografia padrão está sendo usada para criptografar objetos quando as solicitações `PUT` recebidas não têm cabeçalhos de criptografia.
Quando o Amazon S3 criptografa um objeto usando as configurações de criptografia padrão, o log inclui um dos seguintes campos como o par de nome-valor: `"SSEApplied":"Default_SSE_S3"`, `"SSEApplied":"Default_SSE_KMS"` ou `"SSEApplied":"Default_DSSE_KMS"`.
Quando o Amazon S3 criptografa um objeto usando os cabeçalhos de criptografia `PUT`, o log inclui um dos seguintes campos como par de nome-valor: `"SSEApplied":"SSE_S3"`, `"SSEApplied":"SSE_KMS"`, `"SSEApplied":"DSSE_KMS"` ou `"SSEApplied":"SSE_C"`.
Para multipart uploads, essas informações estão incluídas nas solicitações de operação de API `InitiateMultipartUpload`. Para obter mais informações sobre como usar o CloudTrail e o CloudWatch, consulte [Registrar em log e monitorar no Amazon S3](monitoring-overview.md).
# Perguntas frequentes sobre criptografia padrão
O Amazon S3 agora aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. A SSE-S3, que usa criptografia AES-256 (Advanced Encryption Standard de 256 bits), é aplicada automaticamente a todos os novos buckets e a todos os buckets do S3 existentes que ainda não tenham a criptografia padrão configurada. O status de criptografia automática para a configuração de criptografia padrão do bucket do S3 e para novos uploads de objetos está disponível em logs do AWS CloudTrail, no Inventário do S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface (AWS CLI) e nos AWS SDKs.
As seções a seguir respondem a perguntas sobre essa atualização.
**O Amazon S3 altera as configurações de criptografia padrão para meus buckets existentes que já têm a criptografia padrão configurada?**
Não. Não há nenhuma alteração na configuração de criptografia padrão para um bucket existente que já tenha a criptografia SSE-S3 ou a criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS) configuradas. Para obter mais informações sobre como definir o comportamento de criptografia padrão para buckets, consulte [Definir o comportamento padrão da criptografia para os buckets do Amazon S3](bucket-encryption.md). Para obter mais informações sobre configurações de criptografia SSE-S3 e SSE-KMS, consulte [Proteger os dados usando criptografia do lado do servidor](serv-side-encryption.md).
**A criptografia padrão é ativada em meus buckets existentes que não têm a criptografia padrão configurada?**
Sim. O Amazon S3 agora configura a criptografia padrão em todos os buckets não criptografados para aplicar a criptografia do lado do servidor com chaves gerenciadas do S3 (SSE-S3) como o nível básico de criptografia para novos objetos carregados nesses buckets. Objetos que já estão em um bucket não criptografado existente não serão criptografados automaticamente.
**Como posso ver o status de criptografia padrão de novos uploads de objetos?**
Atualmente, é possível visualizar o status de criptografia padrão de novos uploads de objetos em logs do AWS CloudTrail, no Inventário do S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface (AWS CLI) e em AWS SDKs.
+ Para ver seus eventos do CloudTrail, consulte [Visualizar eventos do CloudTrail no console do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) no *Guia do usuário do AWS CloudTrail*. Os logs do CloudTrail fornecem monitoramento de API para solicitações `PUT` e `POST` para o Amazon S3. Quando a criptografia padrão está sendo usada para criptografar objetos nos buckets, os logs do CloudTrail para solicitações de API `PUT` e `POST` incluem o seguinte campo como o par de nome-valor: `"SSEApplied":"Default_SSE_S3"`.
+ Para visualizar o status de criptografia automática de novos uploads de objetos no Inventário do S3, configure um relatório do Inventário do S3 para incluir o campo de metadados **Encryption** (Criptografia), depois veja o status de criptografia de cada novo objeto no relatório. Para obter mais informações, consulte [Configurar o Inventário do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configure-inventory.html#storage-inventory-setting-up).
+ Para ver o status de criptografia automática de novos uploads de objetos na Lente de Armazenamento do S3, configure um painel da Lente de Armazenamento do S3 e veja as métricas **Encrypted bytes** (Bytes criptografados) **Encrypted object count** (Contagem de objetos criptografados) na categoria **Data protection** (Proteção de dados) do painel. Para obter mais informações, consulte [Usar o console do S3](storage_lens_creating_dashboard.md#storage_lens_console_creating) e [Exibição das métricas da lente de armazenamento do S3 nos painéis](storage_lens_view_metrics_dashboard.md).
+ Para ver o status da criptografia automática no nível do bucket no console do Amazon S3, verifique a **criptografia padrão** dos buckets do Amazon S3 no console do Amazon S3. Para obter mais informações, consulte [Configurar a criptografia padrão](default-bucket-encryption.md).
+ Para ver o status de criptografia automática como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface (AWS CLI) e em AWS SDKs, verifique o cabeçalho de resposta `x-amz-server-side-encryption` ao usar APIs de ação do objeto, como [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) e [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html).
**O que preciso fazer para aproveitar essa mudança?**
Você não precisa fazer nenhuma alteração em suas aplicações existentes. Como a criptografia padrão está habilitada para todos os seus buckets, todos os novos objetos enviados para o Amazon S3 serão criptografados automaticamente.
**Posso desativar a criptografia para os novos objetos que serão gravados no meu bucket?**
Não. A SSE-S3 é o novo nível básico de criptografia aplicado a todos os novos objetos que são enviados para o bucket. Não é mais possível desativar a criptografia para novos uploads de objetos.
**Minhas cobranças serão afetadas?**
Não. A criptografia padrão com SSE-S3 está disponível sem nenhum custo adicional. Serão cobrados o armazenamento, as solicitações e outros recursos do S3, como de costume. Para obter informações sobre preços, consulte [Definição de preços do Amazon S3](https://aws.amazon.com/s3/pricing/).
**O Amazon S3 vai criptografar meus objetos existentes que não estão criptografados?**
Não. A partir de 5 de janeiro de 2023, o Amazon S3 criptografa automaticamente somente novos uploads de objetos. Para criptografar objetos existentes, você pode usar o recurso Operações em Lote do S3 para criar cópias criptografadas de seus objetos. Essas cópias criptografadas reterão os dados e o nome do objeto existente e serão criptografadas usando as chaves de criptografia que você especificar. Para obter mais detalhes, consulte [Criptografia de objetos com o recurso Operações em Lote do Amazon S3](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/) no *blog de armazenamento da AWS*.
**Eu não habilitei a criptografia para meus buckets antes desse lançamento. Preciso mudar a forma como acesso os objetos?**
Não. A criptografia padrão com SSE-S3 criptografa automaticamente seus dados à medida que são gravados no Amazon S3 e os descriptografa para você quando os acessa. Não há nenhuma alteração na forma como você acessa objetos que são criptografados automaticamente.
**Preciso mudar a forma como acesso meus objetos com criptografia do lado do cliente?**
Não. Todos os objetos criptografados do lado do cliente antes de serem carregados no Amazon S3 chegam como objetos de texto cifrado criptografados no Amazon S3. Esses objetos agora terão uma camada adicional de criptografia SSE-S3. Suas workloads que usam objetos criptografados do lado do cliente não exigirão nenhuma alteração nos serviços do cliente ou nas configurações de autorização.
**nota**
Os usuários da Terraform da HashiCorp que não usam uma versão atualizada do AWS Provider talvez vejam uma mudança inesperada depois de criar buckets do S3 sem nenhuma configuração de criptografia definida pelo cliente. Para evitar esse desvio, atualize sua versão do AWS Provider para Terraform para uma das seguintes versões: qualquer versão 4.x, 3.76.1 ou 2.70.4.