Perguntas frequentes sobre a configuração padrão do SSE-C para novos buckets
Importante
A partir de abril de 2026, a AWS desabilitará a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C) para todos os buckets novos. Além disso, a criptografia SSE-C será desabilitada para todos os buckets existentes em Contas da AWS que não tenham dados criptografados por SSE-C. Com essas mudanças, as poucas aplicações que precisam da criptografia SSE-C deverão habilitar deliberadamente o uso do SSE-C por meio da API PutBucketEncryption após a criação do bucket. Nesses casos, talvez seja necessário atualizar scripts de automação, modelos do CloudFormation ou outras ferramentas de configuração de infraestrutura para definir essas configurações. Para ter mais informações, consulte a publicação do Blog do AWS Storage
As seções a seguir respondem a perguntas sobre essa atualização.
1. Em abril de 2026, a nova configuração padrão do SSE-C entrará em vigor para todos os buckets recém-criados?
Sim. Ao longo de abril de 2026, a nova configuração padrão será implementada gradualmente em todas as regiões da AWS.
2. Quanto tempo vai levar para que esse lançamento abranja todas as regiões da AWS?
Essa atualização levará várias semanas para ser totalmente lançada. Publicaremos uma postagem em Novidades quando começarmos a implantar essa atualização.
3. Como saberei que a atualização foi concluída?
É possível determinar facilmente se a alteração foi concluída em sua região da AWS criando um bucket e chamando a operação de API GetBucketEncryption para determinar se a criptografia SSE-C está desabilitada. Depois que a atualização for concluída, a criptografia SSE-C será desabilitada automaticamente por padrão em todos os novos buckets de uso geral. Você pode ajustar essas configurações depois de criar o bucket do S3 chamando a operação de API PutBucketEncryption.
4. O Amazon S3 vai atualizar as configurações dos meus buckets existentes?
Se sua conta da AWS não tiver nenhum objeto criptografado com SSE-C, a AWS desabilitará a criptografia SSE-C em todos os seus buckets atuais. Se algum bucket na sua conta da AWS tiver objetos criptografados com SSE-C, a AWS não alterará as configurações em nenhum dos buckets dessa conta. Depois que a alteração CreateBucket for concluída em sua região da AWS, a nova configuração padrão será aplicada a todos os novos buckets de uso geral.
5. Posso desabilitar a criptografia SSE-C para meus buckets antes que a atualização seja concluída?
Sim. Você pode desabilitar a criptografia SSE-C para qualquer bucket chamando a operação de API PutBucketEncryption e especificando o novo cabeçalho BlockedEncryptionTypes.
6. Posso usar o SSE-C para criptografar dados em meus novos buckets?
Sim. A maioria dos casos de uso modernos no Amazon S3 não usa mais o SSE-C porque esse tipo de criptografia não tem a flexibilidade da criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou da criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS). Se precisar usar a criptografia SSE-C em um novo bucket, é possível outro bucket e, em seguida, habilitar o uso da criptografia SSE-C em uma solicitação PutBucketEncryption separada.
Exemplo
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
nota
Para chamar a API PutBucketEncryption, é necessário ter a permissão s3:PutEncryptionConfiguration.
7. Como o bloqueio do SSE-C afeta as solicitações ao meu bucket?
Quando o SSE-C é bloqueado para um bucket, qualquer solicitação PutObject, CopyObject, PostObject, de multipart upload ou de replicação que especificar a criptografia SSE-C será rejeitada com o erro HTTP 403 AccessDenied.
