Amazon S3 では、すべての新しいオブジェクトが自動的に暗号化されるようになりました - Amazon Simple Storage Service

Amazon S3 では、すべての新しいオブジェクトが自動的に暗号化されるようになりました

Amazon S3 では、Amazon S3 内のすべてのバケットの基本レベルの暗号化として、Amazon S3 が管理するキー (SSE-S3) によるサーバー側の暗号化が適用されるようになりました。2023 年 1 月 5 日以降、Amazon S3 にアップロードされるすべての新しいオブジェクトは、追加費用なしで、パフォーマンスに影響を与えずに自動的に暗号化されます。256 ビットの高度暗号化規格 (AES-256) を使用する SSE-S3 は、すべての新しいバケットと、デフォルトの暗号化がまだ設定されていない既存の S3 バケットに自動的に適用されます。S3 バケットのデフォルト暗号化設定と新しいオブジェクトのアップロードのための自動暗号化ステータスは、AWS CloudTrail ログ、S3 インベントリ、S3 ストレージレンズ、Amazon S3 コンソール、および AWS Command Line Interface (AWS CLI) と AWS SDK の追加の Amazon S3 API レスポンスヘッダーとして利用できるようになりました。

以下のセクションでは、この更新に関する質問に答えます。

Amazon S3 は、既にデフォルトの暗号化が設定されている既存のバケットのデフォルトの暗号化設定を変更しますか?

いいえ。SSE-S3 または AWS Key Management Service (AWS KMS) キーを使用したサーバー側の暗号化 (SSE-KMS) が設定されている既存のバケットのデフォルトの暗号化設定は変更されません。バケットのデフォルトの暗号化動作を設定する方法の詳細については、「Amazon S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定」を参照してください。SSE-S3 および SSE-KMS 暗号化設定に関する詳細は、「サーバー側の暗号化によるデータの保護」を参照してください。

デフォルトの暗号化が設定されていない既存のバケットでもデフォルトの暗号化は有効になりますか?

はい。Amazon S3 は、暗号化されていない既存のバケットすべてにデフォルトの暗号化を設定して、これらのバケットにアップロードされる新しいオブジェクトの暗号化の基本レベルとして、S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) を適用するようになりました。既存の暗号化されていないバケットに既に存在するオブジェクトは、自動的に暗号化されません。

新しいオブジェクトアップロードのデフォルトの暗号化ステータスを表示する方法を教えてください。

現在、AWS CloudTrail ログ、S3 インベントリ、S3 ストレージレンズ、Amazon S3 コンソール、および AWS Command Line Interface (AWS CLI) と AWS SDK の追加の Amazon S3 API レスポンスヘッダーで、新しいオブジェクトのアップロードのデフォルトの暗号化ステータスを確認できます。

  • CloudTrail イベントを確認するには、「AWS CloudTrail ユーザーガイド」の「CloudTrail コンソールで CloudTrail イベントを表示する」を参照してください。CloudTrail ログは、Amazon S3 への PUT および POST リクエストの API トラッキングを提供します。バケット内のオブジェクトを暗号化するためにデフォルトの暗号化が使用されている場合、PUT および POST API リクエストの CloudTrail ログには、名前と値のペアとして次のフィールドが含まれます。"SSEApplied":"Default_SSE_S3"

  • S3 インベントリにおける新しいオブジェクトのアップロードの自動暗号化ステータスを確認するには、[Encryption] (暗号化) メタデータフィールドを含むように S3 インベントリレポートを設定し、レポート内の新しいオブジェクトごとに暗号化ステータスを確認します。詳細については、「Amazon S3 インベントリの設定」を参照してください。

  • S3 ストレージレンズにおける新しいオブジェクトのアップロードの自動暗号化ステータスを確認するには、S3 ストレージレンズダッシュボードを設定し、ダッシュボードの [Data protection] (データ保護) カテゴリで、[Encrypted bytes] (暗号化されたバイト数) メトリクスと [Encrypted object count] (暗号化されたオブジェクト数) メトリクスを確認します。詳細については、Amazon S3 Storage Lens ダッシュボードの作成およびダッシュボードで S3 Storage Lens のメトリクスを表示するを参照してください。

  • Amazon S3 コンソールでバケットレベルの自動暗号化ステータスを確認するには、Amazon S3 コンソールで Amazon S3 バケットのデフォルトの暗号化を確認します。詳細については、「デフォルトの暗号化の設定」を参照してください。

  • 自動暗号化ステータスを AWS Command Line Interface (AWS CLI) および AWS SDK の追加の Amazon S3 API レスポンスヘッダー x-amz-server-side-encryption として表示するには、PutObjectGetObject などのオブジェクトアクション API を使用するときにレスポンス ヘッダーを確認してください。

この変更を利用するには何をすればよいですか?

既存のアプリケーションに変更を加える必要はありません。すべてのバケットでデフォルトの暗号化が有効になっているため、Amazon S3 にアップロードされたすべての新しいオブジェクトは自動的に暗号化されます。

バケットに書き込まれる新しいオブジェクトの暗号化を無効にすることはできますか?

いいえ。SSE-S3 は、バケットにアップロードされるすべての新しいオブジェクトに適用される新しい基本レベルの暗号化です。新しいオブジェクトアップロードの暗号化を無効にすることはできなくなりました。

私の請求は影響を受けますか?

いいえ。SSE-S3 を使用したデフォルトの暗号化は、追加料金なしで利用できます。通常どおり、ストレージ、リクエスト、その他の S3 機能の料金が請求されます。料金については、「Amazon S3 の料金」を参照してください。

Amazon S3 は、暗号化されていない既存のオブジェクトを暗号化しますか?

いいえ。 2023 年 1 月 5 日以降、Amazon S3 は新しいオブジェクトのアップロードのみを自動的に暗号化します。既存のオブジェクトを暗号化するには、S3 Batch オペレーションを使用してオブジェクトの暗号化されたコピーを作成します。これらの暗号化されたコピーには、既存のオブジェクトデータと名前が保持され、指定した暗号化キーを使用して暗号化されます。詳細については、「AWS ストレージブログ」の「Amazon S3 バッチオペレーションによるオブジェクトの暗号化」を参照してください。

このリリース以前は、バケットの暗号化を有効にしていませんでした。オブジェクトへのアクセス方法を変更する必要がありますか。

いいえ。SSE-S3 を使用したデフォルトの暗号化は、Amazon S3 に書き込まれるときにデータを自動的に暗号化し、お客様がデータにアクセスするときに復号します。自動的に暗号化されたオブジェクトへのアクセス方法に変更はありません。

クライアント側の暗号化オブジェクトにアクセスする方法を変更する必要がありますか。

いいえ。Amazon S3 にアップロードされる前に暗号化されたクライアント側の暗号化されたオブジェクトはすべて、暗号化された暗号文オブジェクトとして Amazon S3 に送られます。これらのオブジェクトには SSE-S3 暗号化レイヤーが追加されます。クライアント側の暗号化オブジェクトを使用するワークロードでは、クライアントサービスや認証設定を変更する必要はありません。

注記

更新されたバージョンの AWS プロバイダーを使用していない HashiCorp Terraform ユーザーは、お客様定義の暗号化設定なしで新しい S3 バケットを作成した後、予期しないドリフトが発生する可能性があります。このドリフトを避けるには、お使いの Terraform AWS プロバーダーバージョンを次のいずれかのバージョンに更新してください。4.x のいずれかのリリース、3.76.1、2.70.4。