本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
新儲存貯體的預設 SSE-C 設定常見問答集
重要
從 2026 年 4 月開始, AWS 將使用客戶提供的金鑰 (SSE-C) 停用所有新儲存貯體的伺服器端加密。此外,對於 中 AWS 帳戶 沒有任何 SSE-C 加密資料的所有現有儲存貯體,將停用 SSE-C 加密。隨著這些變更,需要 SSE-C 加密的少數應用程式在建立儲存貯體之後,必須刻意透過 PutBucketEncryption API 啟用使用 SSE-C。在這些情況下,您可能需要更新自動化指令碼、 CloudFormation 範本或其他基礎設施組態工具來設定這些設定。如需詳細資訊,請參閱 AWS Storage Blog 文章
以下各節回答有關此更新的問題。
1。在 2026 年 4 月,新的 SSE-C 設定會對所有新建立的儲存貯體生效嗎?
是。在 2026 年 4 月期間,新的預設設定將逐步在所有 AWS 區域推出。
2. 在此推展涵蓋所有 AWS 區域之前,需要多長時間?
此更新將需要幾週的時間來推出。當我們開始部署此更新時,我們會發佈最新消息貼文。
3. 如何知道更新已完成?
您可以建立新儲存貯體並呼叫 GetBucketEncryption API 操作,以判斷 SSE-C 加密是否已停用,輕鬆判斷變更是否已在您的 AWS 區域中完成。更新完成後,所有新的一般用途儲存貯體都會預設停用 SSE-C 加密。您可以在建立 S3 儲存貯體之後,呼叫 PutBucketEncryption API 操作來調整這些設定。
4. Amazon S3 是否會更新我現有的儲存貯體組態?
如果 AWS 您的帳戶沒有任何 SSE-C 加密物件, AWS 會在您所有現有的儲存貯體上停用 SSE-C 加密。如果您 AWS 帳戶中的任何儲存貯體具有 SSE-C 加密物件, AWS 將不會變更該帳戶中任何儲存貯體上的儲存貯體組態。完成您 AWS 區域的CreateBucket變更後,新的預設設定將套用至所有新的一般用途儲存貯體。
5. 在更新完成之前,是否可以停用儲存貯體的 SSE-C 加密?
是。您可以呼叫 PutBucketEncryption API 操作並指定新BlockedEncryptionTypes標頭,以停用任何儲存貯體的 SSE-C 加密。
6. 我可以使用 SSE-C 來加密新儲存貯體中的資料嗎?
是。Amazon S3 中的大多數現代使用案例都不再使用 SSE-C,因為它缺少伺服器端加密的靈活性是使用 Amazon S3 受管金鑰 (SSE-S3) 或使用 AWS KMS 金鑰 (SSE-KMS) 的伺服器端加密。如果您需要在新儲存貯體中使用 SSE-C 加密,您可以建立新的儲存貯體,然後在單獨的PutBucketEncryption請求中啟用 SSE-C 加密。
範例
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
注意
您必須具有呼叫 PutBucketEncryption API 的s3:PutEncryptionConfiguration許可。
7. 封鎖 SSE-C 如何影響對儲存貯體的請求?
當儲存貯體的 SSE-C 遭到封鎖時,任何指定 SSE-C 加密的 PutObject、CopyObjectPostObject、 或 分段上傳或複寫請求都會遭到 HTTP 403 AccessDenied錯誤拒絕。
