Perguntas frequentes sobre a configuração padrão do SSE-C para novos buckets
Importante
Conforme anunciado em 19 de novembro de 2025,
Com essas mudanças, as aplicações que precisam da criptografia SSE-C deverão habilitar deliberadamente o uso do SSE-C por meio da operação de API PutBucketEncryption após a criação do bucket.
As seções a seguir respondem a perguntas sobre essa atualização.
1. Em abril de 2026, a nova configuração padrão do SSE-C entrará em vigor para todos os buckets recém-criados?
Sim. Essa implantação começou em 6 de abril de 2026 e será concluída nas próximas semanas em 37 regiões da AWS, inclusive nas regiões da AWS na China e na AWS GovCloud (EUA).
nota
Depois que a implantação for concluída, os buckets recém-criados em todas as regiões da AWS, exceto Oriente Médio (Bahrein) e Oriente Médio (EAU), terão o SSE-C desabilitado por padrão.
2. Quanto tempo vai levar para que esse lançamento abranja todas as regiões da AWS?
A implantação começou em 6 de abril de 2026 e será concluída em algumas semanas.
3. Como saberei que a atualização foi concluída?
É possível determinar facilmente se a alteração foi concluída em sua região da AWS criando um bucket e chamando a operação de API GetBucketEncryption para determinar se a criptografia SSE-C está desabilitada. Depois que a atualização for concluída, a criptografia SSE-C será desabilitada automaticamente por padrão em todos os novos buckets de uso geral. Você pode ajustar essas configurações depois de criar o bucket do S3 chamando a operação de API PutBucketEncryption.
4. O Amazon S3 vai atualizar as configurações dos meus buckets existentes?
Se sua conta da AWS não tiver nenhum objeto criptografado com SSE-C, a AWS desabilitará a criptografia SSE-C em todos os seus buckets atuais. Se algum bucket na sua conta da AWS tiver objetos criptografados com SSE-C, a AWS não alterará as configurações em nenhum dos buckets dessa conta. Depois que a alteração CreateBucket for concluída em sua região da AWS, a nova configuração padrão será aplicada a todos os novos buckets de uso geral.
5. Posso desabilitar a criptografia SSE-C para meus buckets antes que a atualização seja concluída?
Sim. Você pode desabilitar a criptografia SSE-C para qualquer bucket chamando a operação de API PutBucketEncryption e especificando o novo cabeçalho BlockedEncryptionTypes.
6. Posso usar o SSE-C para criptografar dados em meus novos buckets?
Sim. A maioria dos casos de uso modernos no Amazon S3 não usa mais o SSE-C porque esse tipo de criptografia não tem a flexibilidade da criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou da criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS). Se precisar usar a criptografia SSE-C em um novo bucket, é possível outro bucket e, em seguida, habilitar o uso da criptografia SSE-C em uma solicitação PutBucketEncryption separada.
Exemplo
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
nota
Para chamar a API PutBucketEncryption, é necessário ter a permissão s3:PutEncryptionConfiguration.
7. Como o bloqueio do SSE-C afeta as solicitações ao meu bucket?
Quando o SSE-C é bloqueado para um bucket, qualquer solicitação PutObject, CopyObject, PostObject, de multipart upload ou de replicação que especificar a criptografia SSE-C será rejeitada com o erro HTTP 403 AccessDenied.
