Configuración de SSE-C predeterminada para preguntas frecuentes de buckets nuevos

importante

Amazon Simple Storage Service ahora aplica una nueva configuración de seguridad de buckets predeterminada que desactivará automáticamente el cifrado del servidor con claves proporcionadas por el cliente (SSE-C) para todos los buckets de propósito general nuevos. En abril de 2026, Amazon S3 implementó una actualización para que todos los buckets de uso general nuevos tengan desactivado el cifrado SSE-C para todas las nuevas solicitudes de escritura. Para los buckets existentes en Cuentas de AWS sin objetos cifrados de SSE-C, Amazon S3 también ha desactivado SSE-C para todas las nuevas solicitudes de escritura. Con este cambio, las aplicaciones que necesitan el cifrado SSE-C deberán habilitar deliberadamente el uso de SSE-C a través de la operación de la API PutBucketEncryption después de crear un bucket nuevo.

Las siguientes secciones responden a las preguntas sobre esta actualización.

1. ¿Entrará en vigor la nueva configuración de SSE-C para todos los buckets recién creados?

Sí. Esta implementación se completó en 37 regiones de AWS, incluidas las regiones de AWS China y AWS GovCloud (EE. UU.), en abril de 2026.

nota

Todos los buckets recién creados en todas las regiones de AWS, excepto Medio Oriente (Baréin) y Oriente Medio (Emiratos Árabes Unidos), tendrán SSE-C desactivado de forma predeterminada.

2. ¿Amazon S3 actualizó las configuraciones de mis bucket existentes?

Si la cuenta de AWS no tenía ningún objeto con cifrado SSE-C, AWS desactivó el cifrado SSE-C en todos los buckets existentes. Si algún bucket de la cuenta de AWS tenía objetos con cifrado SSE-C, AWS no cambió la configuración del bucket de ninguno de los buckets de esa cuenta. La nueva configuración predeterminada se aplica a todos los nuevos buckets de uso general.

3. ¿Puedo desactivar el cifrado SSE-C para mis buckets?

Sí. Para desactivar el cifrado SSE-C en cualquier bucket, llame a la operación de la API PutBucketEncryption y especifique el nuevo encabezado BlockedEncryptionTypes.

4. Puedo usar SSE-C para cifrar los datos de mis nuevos buckets?

Sí. En la mayoría de casos de uso modernos de Amazon S3 ya no se utiliza SSE-C porque no tiene la flexibilidad del cifrado del servidor con claves administradas por Amazon S3 (SSE-S3) o el cifrado del servidor con claves de AWS KMS (SSE-KMS). Si necesita usar el cifrado SSE-C en un bucket nuevo, puede crear el nuevo bucket y, a continuación, habilitar el uso del cifrado SSE-C en una solicitud PutBucketEncryption independiente.

Ejemplo



aws s3api create-bucket \  
bucket amzn-s3-demo-bucket \ 
region us-east-1 \ 
  
aws s3api put-bucket-encryption \  
-- bucket amzn-s3-demo-bucket \
-- server-side-encryption-configuration \
'{ \Rules\: [{   
   {   
   \ApplyServerSideEncryptionByDefault\: {   
     \SSEAlgorithm\: \AES256\,  
    },   
   \BlockedEncryptionTypes\: [  
     \EncryptionType\:\NONE\]   
   }   
   }]   
}'

nota

Debe tener el permiso s3:PutEncryptionConfiguration para llamar a la API PutBucketEncryption.

5. Cómo afecta el bloqueo de SSE-C a las solicitudes a mi bucket?

Cuando se bloquea SSE-C para un bucket, cualquier solicitud PutObject, CopyObject, PostObject o de replicación o carga multiparte que especifique el cifrado SSE-C se rechazará con un error HTTP 403 AccessDenied.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Bloqueo o desbloqueo de SSE-C

Uso del cifrado del cliente