Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perbarui enkripsi objek
<a name="batch-ops-update-encryption"></a>

Anda dapat menggunakan Operasi Batch Amazon S3 untuk melakukan operasi batch skala besar pada objek Amazon S3. Operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_UpdateObjectEncryptionOperation.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_UpdateObjectEncryptionOperation.html)Operasi Batch memperbarui jenis enkripsi sisi server lebih dari satu objek Amazon S3 dengan satu permintaan. Pekerjaan `UpdateObjectEncryption` operasi tunggal dapat mendukung manifes dengan hingga 20 miliar objek.

`UpdateObjectEncryption`Operasi ini didukung untuk semua kelas penyimpanan Amazon S3 yang didukung oleh bucket tujuan umum. Anda dapat menggunakan `UpdateObjectEncryption` operasi untuk mengubah objek terenkripsi dari enkripsi sisi [server dengan kunci terkelola Amazon S3 (SSE-S3) ke kunci [Layanan Manajemen Kunci () (AWS SSE-KMS), atau untuk menerapkan Kunci AWS KMS Bucket S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/UsingKMSEncryption.html)](https://docs.aws.amazon.com//AmazonS3/latest/userguide/UsingServerSideEncryption.html). Anda juga dapat menggunakan `UpdateObjectEncryption` operasi untuk mengubah kunci KMS yang dikelola pelanggan yang digunakan untuk mengenkripsi data Anda sehingga Anda dapat mematuhi standar rotasi kunci kustom.

 Saat membuat pekerjaan Operasi Batch, Anda dapat membuat daftar objek berdasarkan lokasi sumber dan kriteria filter yang Anda tentukan. Anda dapat menggunakan `MatchAnyObjectEncryption` filter untuk membuat daftar objek dari bucket yang ingin diperbarui dan disertakan dalam manifes Anda. Daftar objek yang dihasilkan hanya mencakup objek bucket sumber dengan tipe enkripsi sisi server yang ditunjukkan. Jika Anda memilih SSE-KMS, Anda dapat memfilter hasil lebih lanjut secara opsional dengan menentukan status aktif KMS Key ARN dan Bucket Key tertentu. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_JobManifestGeneratorFilter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_JobManifestGeneratorFilter.html)dan [`SSEKMSFilter`di Referensi *Amazon S3API*](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SSEKMSFilter.html).

## Pembatasan dan pertimbangan
<a name="batch-ops-encrypt-object-restrictions"></a>

Saat Anda menggunakan operasi `UpdateObjectEncryption` Operasi Batch, pembatasan dan pertimbangan berikut berlaku:
+ `UpdateObjectEncryption`Operasi tidak mendukung objek yang tidak dienkripsi atau objek yang dienkripsi dengan enkripsi sisi server dua lapis dengan (DSSE-KMS) atau kunci enkripsi yang disediakan pelanggan AWS KMS keys (SSE-C). Selain itu, Anda tidak dapat menentukan permintaan jenis enkripsi SSE-S3. `UpdateObjectEncryption`
+ Anda dapat menggunakan `UpdateObjectEncryption` operasi untuk memperbarui objek dalam bucket yang mengaktifkan Versi S3. Untuk memperbarui jenis enkripsi versi tertentu, Anda harus menentukan ID versi dalam `UpdateObjectEncryption` permintaan Anda. Jika Anda tidak menentukan ID versi, `UpdateObjectEncryption` permintaan akan bertindak pada versi objek saat ini. Untuk informasi selengkapnya tentang Penentuan Versi S3, lihat [Mempertahankan beberapa versi objek dengan Versi S3](Versioning.md).
+ `UpdateObjectEncryption`Operasi gagal pada objek apa pun yang memiliki mode retensi Kunci Objek S3 atau penahanan hukum yang diterapkan padanya. Jika objek memiliki periode retensi modus tata kelola atau penahanan hukum, Anda harus terlebih dahulu menghapus status Kunci Objek pada objek sebelum mengeluarkan permintaan Anda. `UpdateObjectEncryption` Anda tidak dapat menggunakan `UpdateObjectEncryption` operasi dengan objek yang memiliki periode retensi mode kepatuhan Object Lock yang diterapkan padanya. Untuk informasi lebih lanjut tentang S3 Object Lock, lihat [Mengunci objek dengan Object Lock](object-lock.md).
+ `UpdateObjectEncryption`permintaan pada bucket sumber dengan replikasi langsung diaktifkan tidak akan memulai peristiwa replika di bucket tujuan. Jika Anda ingin mengubah jenis enkripsi objek di bucket sumber dan tujuan, Anda harus memulai `UpdateObjectEncryption` permintaan terpisah pada objek di bucket sumber dan tujuan.
+ Secara default, semua `UpdateObjectEncryption` permintaan yang menentukan kunci KMS yang dikelola pelanggan dibatasi untuk kunci KMS yang dimiliki oleh pemilik bucket. Akun AWS Jika Anda menggunakan AWS Organizations, Anda dapat meminta kemampuan untuk menggunakan yang AWS KMS keys dimiliki oleh akun anggota lain dalam organisasi Anda dengan menghubungi AWS Dukungan.
+ Jika Anda menggunakan Replikasi Batch S3 untuk mereplikasi kumpulan data lintas wilayah dan objek Anda sebelumnya memiliki jenis enkripsi sisi server yang diperbarui dari SSE-S3 ke SSE-KMS, Anda mungkin memerlukan izin tambahan. Di bucket wilayah sumber, Anda harus memiliki `kms:decrypt` izin. Kemudian, Anda akan memerlukan `kms:encrypt` izin `kms:decrypt` dan untuk bucket di wilayah tujuan.
+ Berikan ARN kunci KMS lengkap dalam `UpdateObjectEncryption` permintaan Anda. Anda tidak dapat menggunakan nama alias atau alias ARN. Anda dapat menentukan ARN Kunci KMS lengkap di AWS KMS Console atau menggunakan AWS KMS API. `DescribeKey`
+ Untuk meningkatkan kinerja pembuatan manifes saat menggunakan `KmsKeyArn` filter, gunakan filter ini bersama dengan filter metadata objek lainnya. Misalnya, Anda dapat menggabungkan `KmsKeyArn` dengan`MatchAnyPrefix`,`CreatedAfter`, atau `MatchAnyStorageClass` ketika Anda secara otomatis membuat manifes dalam Operasi Batch S3.

Untuk informasi selengkapnya tentang `UpdateObjectEncryption`, lihat [Memperbarui enkripsi sisi server untuk data yang ada](update-sse-encryption.md).

## Izin yang diperlukan
<a name="batch-ops-required-permissions"></a>

Untuk melakukan `UpdateObjectEncryption` operasi, tambahkan kebijakan AWS Identity and Access Management (IAM) berikut ke kepala IAM Anda (pengguna, peran, atau grup). Untuk menggunakan kebijakan ini, ganti *`amzn-s3-demo-bucket`* dengan nama bucket yang berisi objek yang ingin Anda perbarui enkripsi. Ganti `amzn-s3-demo-manifest-bucket` dengan nama bucket yang berisi manifes Anda, dan ganti `amzn-s3-demo-completion-report-bucket` dengan nama bucket tempat Anda ingin menyimpan laporan penyelesaian.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3BatchOperationsUpdateEncryption",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:UpdateObjectEncryption"
            ],
            "Resource": [
                 "arn:aws:s3:::amzn-s3-demo-bucket-target"
                "arn:aws:s3:::amzn-s3-demo-bucket-target-target/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForManifestFile",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-manifest/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForCompletionReport",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-completion-report/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyManifestGeneration",
            "Effect": "Allow",
            "Action": [
                "s3:PutInventoryConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-target"
            ]
        },
        {
            "Sid": "AllowKMSOperationsForS3BatchOperations",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": [                "arn:aws:kms:us-east-1:111122223333:key/01234567-89ab-cdef-0123-456789abcdef"
            ]
        }
    ]
}
```

Untuk kebijakan kepercayaan dan kebijakan izin yang harus Anda lampirkan ke peran IAM yang diasumsikan oleh prinsipal layanan Operasi Batch S3 untuk menjalankan pekerjaan Operasi Batch atas nama Anda, lihat dan. [Memberikan izin untuk Batch Operations](batch-ops-iam-role-policies.md) [Perbarui enkripsi objek](batch-ops-iam-role-policies.md#batch-ops-update-encryption-policies)

# Membuat pekerjaan Operasi Batch untuk memperbarui enkripsi objek
<a name="batch-ops-update"></a>

Untuk memperbarui jenis enkripsi sisi server lebih dari satu objek Amazon S3 dengan satu permintaan, Anda dapat menggunakan Operasi Batch S3. Anda dapat menggunakan Operasi Batch S3 melalui konsol Amazon S3 AWS Command Line Interface ,AWS CLI( AWS SDKs), atau Amazon S3 REST API.

## Menggunakan AWS CLI
<a name="batch-ops-example-cli-update-job"></a>

Untuk menjalankan perintah berikut, Anda harus AWS CLI menginstal dan mengkonfigurasi. Jika Anda belum menginstal, lihat [Menginstal atau memperbarui ke versi terbaru dari AWS CLI](https://docs.aws.amazon.com//cli/latest/userguide/getting-started-install.html) *Panduan AWS Command Line Interface Pengguna*. AWS CLI 

Atau, Anda dapat menjalankan AWS CLI perintah dari konsol dengan menggunakan AWS CloudShell. AWS CloudShell adalah shell pra-otentikasi berbasis browser yang dapat Anda luncurkan langsung dari file. Konsol Manajemen AWS Untuk informasi lebih lanjut, lihat [Apa itu CloudShell?](https://docs.aws.amazon.com//cloudshell/latest/userguide/welcome.html) dan [Memulai dengan AWS CloudShell](https://docs.aws.amazon.com//cloudshell/latest/userguide/getting-started.html) di *Panduan AWS CloudShell Pengguna*.

**Example 1 — Buat pekerjaan Operasi Batch yang memperbarui objek terenkripsi dari satu AWS KMS key ke kunci KMS lainnya**  
Contoh berikut menunjukkan cara membuat pekerjaan Operasi Batch S3 yang memperbarui setelan enkripsi untuk beberapa objek di bucket tujuan umum Anda. Perintah ini menciptakan pekerjaan yang mengubah objek yang dienkripsi dengan satu AWS Key Management Service (AWS KMS) kunci untuk menggunakan kunci KMS yang berbeda. Pekerjaan ini juga menghasilkan dan menyimpan manifes dari objek yang terpengaruh dan membuat laporan hasil. Untuk menggunakan perintah ini, ganti `user input placeholders` dengan informasi Anda sendiri.  

```
aws s3control create-job --account-id account-id \
--no-confirmation-required \
--operation '{"S3UpdateObjectEncryption": {  "ObjectEncryption": { "SSEKMS": { "KMSKeyArn": "KMS-key-ARN-to-apply", "BucketKeyEnabled": false  }  }  } }' \
--report '{ "Enabled": true, "Bucket": "report-bucket-ARN",  "Format": "Report_CSV_20180820", "Prefix": "report", "ReportScope": "AllTasks" }' \
--manifest-generator '{ "S3JobManifestGenerator": { "ExpectedBucketOwner": "account-id", "SourceBucket": "source-bucket-ARN", "EnableManifestOutput": true, "ManifestOutputLocation": { "Bucket": "manifest-bucket-ARN", "ManifestFormat": "S3InventoryReport_CSV_20211130", "ManifestPrefix": "manifest-prefix" }, "Filter": {   "MatchAnyObjectEncryption": [{ "SSEKMS": { "KmsKeyArn": "kms-key-ARN-to-match" } }] } } }' \
--priority 1 \
--role-arn batch-operations-role-ARN
```
Untuk kinerja terbaik, sebaiknya gunakan `KmsKeyArn` filter bersama dengan filter metadata objek lainnya, seperti`MatchAnyPrefix`,, atau. `CreatedAfter` `MatchAnyStorageClass`

**Example 2 — Buat pekerjaan Operasi Batch yang memperbarui objek terenkripsi SSE-S3 ke SSE-KMS**  
Contoh berikut menunjukkan cara membuat pekerjaan Operasi Batch S3 yang memperbarui setelan enkripsi untuk beberapa objek di bucket tujuan umum Anda. Perintah ini membuat pekerjaan yang mengubah objek yang dienkripsi dengan menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) untuk menggunakan enkripsi sisi server dengan kunci () (SSE-KMS) sebagai gantinya. AWS Key Management Service AWS KMS Pekerjaan ini juga menghasilkan dan menyimpan manifes dari objek yang terpengaruh dan membuat laporan hasil. Untuk menggunakan perintah ini, ganti `user input placeholders` dengan informasi Anda sendiri.  

```
aws s3control create-job --account-id account-id \
--no-confirmation-required \
--operation '{"S3UpdateObjectEncryption": {  "ObjectEncryption": { "SSEKMS": { "KMSKeyArn": "KMS-key-ARN-to-apply", "BucketKeyEnabled": false  }  }  } }' \
--report '{ "Enabled": true, "Bucket": "report-bucket-ARN",  "Format": "Report_CSV_20180820", "Prefix": "report", "ReportScope": "AllTasks" }' \
--manifest-generator '{ "S3JobManifestGenerator": { "ExpectedBucketOwner": "account-id", "SourceBucket": "source-bucket-ARN", "EnableManifestOutput": true, "ManifestOutputLocation": { "Bucket": "manifest-bucket-ARN", "ManifestFormat": "S3InventoryReport_CSV_20211130", "ManifestPrefix": "manifest-prefix" }, "Filter": {   "MatchAnyObjectEncryption": [{ "SSES3": {} }] } } }' \
--priority 1 \
--role-arn batch-operations-role-ARN
```
Untuk kinerja terbaik, sebaiknya gunakan `KmsKeyArn` filter bersama dengan filter metadata objek lainnya, seperti`MatchAnyPrefix`,, atau. `CreatedAfter` `MatchAnyStorageClass`