Domande frequenti sull'impostazione SSE-C predefinita per i nuovi bucket

Importante

A partire da aprile 2026, AWS disabiliterà la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket. Inoltre, la crittografia SSE-C sarà disabilitata per tutti i bucket esistenti che non dispongono di dati crittografati SSE-C. Account AWS Con queste modifiche, le poche applicazioni che richiedono la crittografia SSE-C devono abilitare deliberatamente l'uso di SSE-C tramite l'API dopo aver creato il bucket. PutBucketEncryption In questi casi, potrebbe essere necessario aggiornare gli script di automazione, i CloudFormation modelli o altri strumenti di configurazione dell'infrastruttura per configurare queste impostazioni. Per ulteriori informazioni, consulta il post del blog AWS Storage.

Nelle sezioni seguenti vengono fornite le risposte alle domande su questo aggiornamento.

1. Nell'aprile 2026, la nuova impostazione SSE-C avrà effetto per tutti i bucket appena creati?

Sì. Nel mese di aprile 2026, la nuova impostazione predefinita verrà gradualmente implementata in tutte le regioni. AWS

2. Quanto tempo ci vorrà prima che questa implementazione copra tutte le AWS regioni?

L'implementazione di questo rollout richiederà diverse settimane. Pubblicheremo un post sulle novità quando inizieremo a implementare questo aggiornamento.

3. Come faccio a sapere che l'aggiornamento è completo?

È possibile determinare facilmente se la modifica è stata completata nella propria AWS regione creando un nuovo bucket e chiamando l'operazione GetBucketEncryptionAPI per determinare se la crittografia SSE-C è disabilitata. Una volta completato l'aggiornamento, per tutti i nuovi bucket generici la crittografia SSE-C sarà automaticamente disabilitata per impostazione predefinita. Puoi modificare queste impostazioni dopo aver creato il tuo bucket S3 chiamando l'operazione API. PutBucketEncryption

4. Amazon S3 aggiornerà le mie configurazioni di bucket esistenti?

Se il tuo AWS account non dispone di oggetti crittografati SSE-C, AWS disabiliterà la crittografia SSE-C su tutti i bucket esistenti. Se un bucket del tuo AWS account contiene oggetti crittografati SSE-C, non AWS modificherà le configurazioni dei bucket su nessuno dei tuoi bucket in quell'account. Una volta completata la CreateBucket modifica per la tua AWS regione, la nuova impostazione predefinita verrà applicata a tutti i nuovi bucket generici.

5. Posso disabilitare la crittografia SSE-C per i miei bucket prima che l'aggiornamento sia completo?

Sì. Puoi disabilitare la crittografia SSE-C per qualsiasi bucket chiamando l'operazione PutBucketEncryptionAPI e specificando la nuova intestazione. BlockedEncryptionTypes

6. Posso usare SSE-C per crittografare i dati nei miei nuovi bucket?

Sì. La maggior parte dei casi d'uso moderni in Amazon S3 non utilizza più SSE-C perché manca la flessibilità della crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) o della crittografia lato server con chiavi KMS (SSE-KMS). AWS Se devi utilizzare la crittografia SSE-C in un nuovo bucket, puoi creare il nuovo bucket e quindi abilitare l'uso della crittografia SSE-C in una richiesta separata. PutBucketEncryption

Esempio

aws s3api create-bucket \  
bucket amzn-s3-demo-bucket \ 
region us-east-1 \ 
  
aws s3api put-bucket-encryption \  
-- bucket amzn-s3-demo-bucket \
-- server-side-encryption-configuration \
'{ \Rules\: [{   
   {   
   \ApplyServerSideEncryptionByDefault\: {   
     \SSEAlgorithm\: \AES256\,  
    },   
   \BlockedEncryptionTypes\: [  
     \EncryptionType\:\NONE\]   
   }   
   }]   
}'

Nota

È necessario disporre dell'autorizzazione per chiamare l'API. s3:PutEncryptionConfiguration PutBucketEncryption

7. In che modo il blocco di SSE-C influisce sulle richieste al mio bucket?

Quando SSE-C è bloccato per un bucket PutObject CopyObjectPostObject, qualsiasi richiesta di caricamento o replica multiparte che specifichi la crittografia SSE-C verrà rifiutata con un errore HTTP 403. AccessDenied