Mengatur perilaku enkripsi di sisi server default untuk bucket Amazon S3

penting

Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons Amazon S3 tambahan di dan. API AWS Command Line Interface AWS SDKs Untuk informasi selengkapnya, lihat Enkripsi default FAQ.

Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan objek secara otomatis dienkripsi dengan menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3). SSE Pengaturan enkripsi ini berlaku untuk semua objek di dalam bucket Amazon S3 Anda.

Jika Anda memerlukan kontrol lebih besar atas kunci Anda, seperti mengelola rotasi kunci dan hibah kebijakan akses, Anda dapat memilih untuk menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) keys (SSE-KMS), atau enkripsi sisi server dual-layer dengan keys (-). AWS KMS DSSE KMS Untuk informasi selengkapnya tentang KMS tombol pengeditan, lihat Mengedit kunci di Panduan AWS Key Management Service Pengembang.

catatan

Kami telah mengubah bucket untuk mengenkripsi unggahan objek baru secara otomatis. Jika sebelumnya Anda membuat bucket tanpa enkripsi default, Amazon S3 akan mengaktifkan enkripsi secara default untuk bucket menggunakan SSE -S3. Tidak akan ada perubahan pada konfigurasi enkripsi default untuk bucket yang ada yang sudah memiliki SSE -S3 atau SSE - KMS dikonfigurasi. Jika Anda ingin mengenkripsi objek Anda dengan SSE -KMS, Anda harus mengubah jenis enkripsi di pengaturan bucket Anda. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan AWS KMS kunci (-) SSE KMS.

Saat mengonfigurasi bucket untuk menggunakan enkripsi default dengan SSE -KMS, Anda juga dapat mengaktifkan Kunci Bucket S3 untuk mengurangi lalu lintas permintaan dari Amazon S3 AWS KMS ke dan mengurangi biaya enkripsi. Untuk informasi selengkapnya, lihat Mengurangi biaya SSE - KMS dengan Amazon S3 Bucket Keys.

Untuk mengidentifikasi bucket yang telah SSE - KMS diaktifkan untuk enkripsi default, Anda dapat menggunakan metrik Amazon S3 Storage Lens. Lensa Penyimpanan S3 adalah fitur analisis penyimpanan cloud yang dapat Anda gunakan untuk mendapatkan visibilitas seluruh organisasi ke dalam penggunaan dan aktivitas penyimpanan objek. Untuk informasi selengkapnya, lihat Menggunakan Lensa Penyimpanan S3 untuk melindungi data Anda.

Saat Anda menggunakan enkripsi di sisi server, Amazon S3 mengenkripsi objek sebelum menyimpannya ke disk, dan mendekripsinya saat Anda mengunduh objek. Untuk informasi lebih lanjut tentang cara untuk melindungi data menggunakan enkripsi di sisi server dan manajemen kunci enkripsi, lihat Melindungi data dengan enkripsi di sisi klien.

Untuk informasi selengkapnya tentang izin yang diperlukan untuk enkripsi default, lihat PutBucketEncryptiondi APIReferensi Layanan Penyimpanan Sederhana Amazon.

Anda dapat mengonfigurasi perilaku enkripsi default Amazon S3 untuk bucket S3 dengan menggunakan konsol Amazon S3, Amazon S3 RESTAPI, dan AWS SDKs Antarmuka Baris Perintah (). AWS AWS CLI

Mengenkripsi objek yang ada

Untuk mengenkripsi objek Amazon S3 yang tidak terenkripsi, Anda dapat menggunakan Operasi Batch Amazon S3. Anda menyediakan Operasi Batch S3 dengan daftar objek yang akan dioperasikan, dan Operasi Batch memanggil masing-masing API untuk melakukan operasi yang ditentukan. Anda juga dapat menggunakan Operasi Salin Operasi Batch untuk menyalin objek tidak terenkripsi yang ada, dan menuliskannya kembali ke bucket yang sama sebagai objek terenkripsi. Satu tugas Operasi Batch dapat melakukan operasi tertentu pada miliaran objek yang berisi data sebesar eksabita. Untuk informasi selengkapnya, lihat Melakukan operasi batch berskala besar pada objek Amazon S3 dan postingan AWS Blog Penyimpanan Mengenkripsi objek dengan Operasi Batch Amazon S3.

Anda juga dapat mengenkripsi objek yang ada dengan menggunakan CopyObject API operasi atau copy-object AWS CLI perintah. Untuk informasi selengkapnya, lihat postingan AWS Blog Penyimpanan Mengenkripsi objek Amazon S3 yang sudah ada dengan AWS CLI.

catatan

Bucket Amazon S3 dengan enkripsi bucket default disetel ke SSE - KMS tidak dapat digunakan sebagai bucket tujuan. Pencatatan permintaan dengan pencatatan akses server Hanya enkripsi default SSE -S3 yang didukung untuk bucket tujuan log akses server.

Menggunakan SSE - KMS enkripsi untuk operasi lintas akun

Saat menggunakan enkripsi untuk operasi lintas akun, perhatikan hal berikut:

• Jika AWS KMS key Amazon Resource Name (ARN) atau alias tidak disediakan pada waktu permintaan atau melalui konfigurasi enkripsi default bucket, Kunci yang dikelola AWS (aws/s3) akan digunakan.

• Jika Anda mengunggah atau mengakses objek S3 dengan menggunakan AWS Identity and Access Management (IAM) prinsipal yang Akun AWS sama dengan KMS kunci Anda, Anda dapat menggunakan (). Kunci yang dikelola AWS aws/s3

• Jika Anda ingin memberikan akses lintas akun ke objek S3 Anda, gunakan CMK. Anda dapat mengonfigurasi kebijakan CMK untuk mengizinkan akses dari akun lain.

• Jika Anda menentukan kunci yang dikelola pelanggan, sebaiknya gunakan KMS kunci yang sepenuhnya memenuhi syaratKMS. ARN Jika Anda menggunakan alias KMS kunci sebagai gantinya, AWS KMS selesaikan kunci di dalam akun pemohon. Perilaku ini dapat menghasilkan data yang dienkripsi dengan KMS kunci milik pemohon, dan bukan pemilik bucket.

• Anda harus menentukan kunci yang kepada Anda (pemohon) telah diberikan izin Encrypt. Untuk informasi selengkapnya, lihat Mengizinkan pengguna kunci menggunakan KMS kunci untuk operasi kriptografi di Panduan AWS Key Management Service Pengembang.

Untuk informasi selengkapnya tentang kapan menggunakan kunci terkelola pelanggan dan KMS kunci AWS terkelola, lihat Haruskah saya menggunakan Kunci yang dikelola AWS atau kunci yang dikelola pelanggan untuk mengenkripsi objek saya di Amazon S3?

Menggunakan enkripsi default menggunakan replikasi

Saat Anda mengaktifkan enkripsi default untuk bucket tujuan replikasi, perilaku enkripsi berikut berlaku:

• Jika objek dalam bucket sumber tidak dienkripsi, objek replika dalam bucket tujuan akan dienkripsi menggunakan pengaturan enkripsi default dari bucket tujuan. Akibatnya, tag entitas (ETags) dari objek sumber berbeda ETags dari objek replika. Jika Anda memiliki aplikasi yang menggunakanETags, Anda harus memperbarui aplikasi tersebut untuk memperhitungkan perbedaan ini.

• Jika objek dalam bucket sumber dienkripsi menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3), enkripsi sisi server dengan kunci (SSE) AWS Key Management Service (AWS KMS-), atau enkripsi sisi server dua lapis dengan kunci (SSE-KMS), objek replika di bucket tujuan menggunakan jenis enkripsi yang sama dengan AWS KMS objek sumber. DSSE KMS Pengaturan enkripsi default bucket tujuan tidak digunakan.

Untuk informasi selengkapnya tentang penggunaan enkripsi default dengan SSE -KMS, lihatMereplikasi objek terenkripsi.

Menggunakan Kunci Bucket Amazon S3 dengan enkripsi default

Saat mengonfigurasi bucket untuk digunakan SSE - KMS sebagai perilaku enkripsi default untuk objek baru, Anda juga dapat mengonfigurasi Kunci Bucket S3. S3 Bucket Keys mengurangi jumlah transaksi dari Amazon S3 AWS KMS untuk mengurangi biaya SSE -. KMS

Saat Anda mengonfigurasi bucket untuk menggunakan Kunci Bucket S3 untuk SSE - KMS pada objek AWS KMS baru, buat kunci tingkat ember yang digunakan untuk membuat kunci data unik untuk objek di bucket. Kunci Bucket S3 ini digunakan untuk jangka waktu terbatas dalam Amazon S3, mengurangi kebutuhan Amazon S3 untuk membuat permintaan AWS KMS untuk menyelesaikan operasi enkripsi.

Untuk informasi lebih lanjut tentang menggunakan Kunci Bucket S3, lihat Menggunakan Kunci Bucket Amazon S3.