Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Melindungi data dengan enkripsi di sisi klien
penting
Amazon Simple Storage Service sekarang menerapkan pengaturan keamanan bucket default baru yang secara otomatis menonaktifkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk semua bucket tujuan umum yang baru. Pada April 2026, Amazon S3 menerapkan pembaruan sehingga semua bucket tujuan umum baru menonaktifkan enkripsi untuk semua SSE-C permintaan tulis baru. Untuk bucket yang ada tanpa objek SSE-C terenkripsi, Amazon S3 juga dinonaktifkan SSE-C untuk semua permintaan tulis baru. Akun AWS Dengan perubahan ini, aplikasi yang membutuhkan SSE-C enkripsi harus sengaja diaktifkan SSE-C dengan menggunakan operasi PutBucketEncryptionAPI setelah membuat bucket baru. Untuk informasi lebih lanjut tentang perubahan ini, lihatSSE-C Pengaturan default untuk bucket baru FAQ.
penting
Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di dan SDK. AWS CLI AWS Untuk informasi selengkapnya, lihat FAQ enkripsi default.
Server-side enkripsi adalah enkripsi data di tujuannya oleh aplikasi atau layanan yang menerimanya. Amazon S3 mengenkripsi data Anda pada tingkat objek saat menulisnya ke disk di pusat AWS data dan mendekripsi untuk Anda saat Anda mengaksesnya. Selama Anda mengautentikasi permintaan dan telah memiliki izin akses, tidak ada perbedaan dalam cara mengakses objek terenkripsi atau tidak terenkripsi. Misalnya, jika Anda berbagi objek menggunakan URL yang ditandatangani sebelumnya, URL tersebut bekerja dengan cara yang sama untuk objek terenkripsi maupun yang tidak terenkripsi. Selain itu, saat Anda mencantumkan objek di bucket, operasi daftar API menampilkan daftar semua objek, terlepas dari apakah objek tersebut dienkripsi atau tidak.
Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat istirahat. Server-side enkripsi dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Untuk menggunakan jenis enkripsi yang berbeda, Anda dapat menentukan jenis enkripsi sisi server yang akan digunakan dalam PUT permintaan S3, atau memperbarui konfigurasi enkripsi default di bucket tujuan.
Jika Anda ingin menentukan jenis enkripsi yang berbeda dalam PUT permintaan Anda, Anda dapat menggunakan enkripsi sisi server dengan
AWS Key Management Service (AWS KMS) keys (), enkripsi sisi server dual-layer dengan keys (SSE-KMS), atau enkripsi sisi server dengan AWS KMS kunci yang disediakan DSSE-KMS pelanggan (). SSE-C Jika Anda ingin mengatur konfigurasi enkripsi default yang berbeda di bucket tujuan, Anda dapat menggunakan SSE-KMS atau DSSE-KMS.
Untuk informasi selengkapnya tentang mengubah konfigurasi enkripsi default untuk bucket tujuan umum Anda, lihatMengonfigurasi enkripsi default.
Saat Anda mengubah konfigurasi enkripsi default bucket menjadi SSE-KMS, jenis enkripsi objek Amazon S3 yang ada di bucket tidak akan diubah. Untuk mengubah jenis enkripsi objek yang sudah ada sebelumnya setelah memperbarui konfigurasi enkripsi default ke SSE-KMS, Anda dapat menggunakan Operasi Batch Amazon S3. Anda menyediakan Operasi Batch S3 dengan daftar objek, dan Operasi Batch memanggil operasi API masing-masing. Anda dapat menggunakan Menyalin objek tindakan untuk menyalin objek yang ada, yang menuliskannya kembali ke ember yang sama dengan objek SSE-KMS terenkripsi. Satu tugas Operasi Batch dapat melakukan operasi tertentu pada miliaran objek yang berisi data sebesar eksabita. Untuk informasi selengkapnya, lihat Melakukan operasi objek secara massal dengan Operasi Batch dan posting Blog AWS Penyimpanan Cara mengenkripsi objek yang ada secara surut di Amazon S3 menggunakan S3 Inventory, Amazon Athena, dan Operasi Batch S3
catatan
Anda tidak dapat menerapkan berbagai jenis enkripsi di sisi server ke objek yang sama secara bersamaan.
Jika Anda perlu mengenkripsi objek yang ada, gunakan Operasi Batch S3 dan Inventaris S3. Untuk informasi selengkapnya, lihat Mengenkripsi objek dengan Operasi Batch Amazon S3
Saat menyimpan data di Amazon S3, Anda memiliki empat opsi yang saling eksklusif untuk enkripsi sisi server, tergantung pada bagaimana Anda memilih untuk mengelola kunci enkripsi dan jumlah lapisan enkripsi yang ingin Anda terapkan.
Server-side enkripsi dengan kunci terkelola Amazon S3 () SSE-S3
Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default. Opsi default untuk enkripsi sisi server adalah dengan kunci terkelola Amazon S3 (). SSE-S3 Setiap objek dienkripsi dengan kunci unik. Sebagai perlindungan tambahan, SSE-S3 mengenkripsi kunci itu sendiri dengan kunci root yang diputar secara teratur. SSE-S3 menggunakan salah satu cipher blok terkuat yang tersedia, 256-bit Advanced Encryption Standard (AES-256), untuk mengenkripsi data Anda. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 () SSE-S3.
Server-side enkripsi dengan AWS Key Management Service (AWS KMS) kunci (SSE-KMS)
Server-side enkripsi dengan AWS KMS keys (SSE-KMS) disediakan melalui integrasi AWS KMS layanan dengan Amazon S3. Dengan AWS KMS, Anda memiliki kontrol lebih besar atas kunci Anda. Misalnya, Anda dapat melihat kunci terpisah, mengedit kebijakan kontrol, dan mengikuti kunci di AWS CloudTrail. Selain itu, Anda dapat membuat dan mengelola CMK atau menggunakan Kunci yang dikelola AWS yang unik bagi Anda, layanan Anda, dan Wilayah Anda. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS).
Dual-layer enkripsi sisi server dengan AWS Key Management Service (AWS KMS) kunci (DSSE-KMS)
Dual-layer enkripsi sisi server dengan AWS KMS keys (DSSE-KMS) mirip dengan SSE-KMS, tetapi DSSE-KMS menerapkan dua lapisan AES-256 enkripsi independen alih-alih satu lapisan: pertama menggunakan kunci enkripsi AWS KMS data, kemudian menggunakan kunci enkripsi Amazon S3-managed terpisah. Karena kedua lapisan enkripsi diterapkan ke objek di sisi server, Anda dapat menggunakan berbagai alat Layanan AWS dan untuk menganalisis data di S3 sambil menggunakan metode enkripsi yang dapat memenuhi persyaratan kepatuhan untuk enkripsi multilayer. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dual-layer dengan AWS KMS kunci (DSSE-KMS).
Server-side enkripsi dengan kunci yang disediakan pelanggan () SSE-C
Dengan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C), Anda mengelola kunci enkripsi, dan Amazon S3 mengelola enkripsi saat menulis ke disk dan dekripsi saat Anda mengakses objek Anda. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan kunci yang disediakan pelanggan () SSE-C.
catatan
Saat menggunakan titik akses untuk sistem file Amazon FSx menggunakan titik akses S3, Anda memiliki satu opsi untuk enkripsi sisi server.
Server-side enkripsi dengan Amazon fsX () SSE-FSX
Semua sistem file Amazon FSx memiliki enkripsi yang dikonfigurasi secara default dan dienkripsi saat istirahat dengan kunci yang dikelola menggunakan. AWS Key Management Service Data secara otomatis dienkripsi dan didekripsi oleh pada sistem file karena data sedang ditulis dan dibaca dari sistem file. Proses ini ditangani secara transparan oleh Amazon FSx.
