Enkripsi default FAQ - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi default FAQ

Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. SSE-S3, yang menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256), secara otomatis diterapkan ke semua bucket baru dan ke bucket S3 yang ada yang belum memiliki enkripsi default yang dikonfigurasi. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header API respons Amazon S3 tambahan di () dan file. AWS Command Line Interface AWS CLI AWS SDKs

Bagian berikut menjawab pertanyaan tentang pembaruan ini.

Apakah Amazon S3 mengubah pengaturan enkripsi default untuk bucket saya yang sudah ada yang sudah memiliki enkripsi default yang dikonfigurasi?

Tidak. Tidak ada perubahan pada konfigurasi enkripsi default untuk bucket yang sudah ada yang sudah memiliki enkripsi SSE -S3 atau sisi server dengan AWS Key Management Service (AWS KMS) keys (-) dikonfigurasi. SSE KMS Untuk informasi lebih lanjut tentang cara mengatur perilaku enkripsi default untuk bucket, lihat Mengatur perilaku enkripsi di sisi server default untuk bucket Amazon S3. Untuk informasi selengkapnya tentang pengaturan KMS enkripsi SSE -S3 dan SSE -, lihat. Melindungi data dengan enkripsi di sisi klien

Apakah enkripsi default diaktifkan pada bucket saya yang sudah ada yang enkripsi defaultnya tidak dikonfigurasi?

Ya. Amazon S3 sekarang mengonfigurasi enkripsi default pada semua bucket tidak terenkripsi yang ada untuk menerapkan enkripsi sisi server dengan kunci terkelola S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk objek baru yang diunggah ke bucket ini. Objek yang sudah ada dalam bucket tidak terenkripsi tidak akan dienkripsi secara otomatis.

Bagaimana saya bisa melihat status enkripsi default dari unggahan objek baru?

Saat ini, Anda dapat melihat status enkripsi default dari unggahan objek baru di AWS CloudTrail log, Inventaris S3, dan Lensa Penyimpanan S3, konsol Amazon S3, dan API sebagai header respons Amazon S3 tambahan di () dan file. AWS Command Line Interface AWS CLI AWS SDKs

  • Untuk melihat CloudTrail acara Anda, lihat Melihat CloudTrail peristiwa di CloudTrail konsol di Panduan AWS CloudTrail Pengguna. CloudTrail log menyediakan API pelacakan PUT dan POST permintaan ke Amazon S3. Saat enkripsi default digunakan untuk mengenkripsi objek di bucket Anda, CloudTrail log untuk PUT dan POST API permintaan akan menyertakan bidang berikut sebagai pasangan nama-nilai:. "SSEApplied":"Default_SSE_S3"

  • Untuk melihat status enkripsi otomatis dari unggahan objek baru di Inventaris S3, konfigurasikan laporan Inventaris S3 untuk menyertakan bidang metadata Enkripsi, lalu lihat status enkripsi untuk setiap objek baru dalam laporan. Untuk informasi selengkapnya, lihat Mengatur Inventaris Amazon S3.

  • Untuk melihat status enkripsi otomatis untuk unggahan objek baru di Lensa Penyimpanan S3, konfigurasikan dasbor Lensa Penyimpanan S3 dan lihat metrik Byte terenkripsi dan Jumlah objek terenkripsi dalam kategori Perlindungan data pada dasbor. Untuk informasi selengkapnya, silakan lihat Menggunakan konsol S3 dan Melihat metrik Lensa Penyimpanan S3 di dasbor.

  • Untuk melihat status enkripsi tingkat bucket otomatis di konsol Amazon S3, periksa Enkripsi default bucket Amazon S3 Anda di konsol Amazon S3. Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi default.

  • Untuk melihat status enkripsi otomatis sebagai header API respons Amazon S3 tambahan di AWS Command Line Interface (AWS CLI) dan AWS SDKs, periksa header respons x-amz-server-side-encryption saat Anda menggunakan tindakan objekAPIs, seperti PutObjectdan. GetObject

Apa yang harus saya lakukan untuk memanfaatkan perubahan ini?

Anda tidak perlu melakukan perubahan apa pun pada aplikasi Anda yang ada. Karena enkripsi default diaktifkan untuk semua bucket Anda, semua objek baru yang diunggah ke Amazon S3 secara otomatis dienkripsi.

Bisakah saya menonaktifkan enkripsi untuk objek baru yang ditulis ke bucket saya?

Tidak. SSE-S3 adalah tingkat dasar enkripsi baru yang diterapkan ke semua objek baru yang diunggah ke bucket Anda. Anda tidak dapat lagi menonaktifkan enkripsi untuk unggahan objek baru.

Apakah biaya saya akan terpengaruh?

Tidak. Enkripsi default dengan SSE -S3 tersedia tanpa biaya tambahan. Anda akan ditagih untuk penyimpanan, permintaan, dan fitur S3 lainnya, seperti biasa. Untuk informasi harga, lihat Harga Amazon S3.

Akankah Amazon S3 mengenkripsi objek saya yang tidak terenkripsi?

Tidak. Mulai 5 Januari 2023, Amazon S3 hanya secara otomatis mengenkripsi unggahan objek baru. Untuk mengenkripsi objek yang ada, Anda dapat menggunakan operasi batch S3 untuk membuat salinan terenkripsi objek Anda. Salinan terenkripsi ini akan mempertahankan data dan nama objek yang ada dan akan dienkripsi dengan menggunakan kunci enkripsi yang Anda tentukan. Untuk detail selengkapnya, lihat Mengenkripsi objek dengan Operasi Batch Amazon S3 dalam AWS Blog Penyimpanan.

Saya tidak mengaktifkan enkripsi untuk bucket saya sebelum rilis ini. Apakah saya perlu mengubah cara saya mengakses objek?

Tidak. Enkripsi default dengan SSE -S3 secara otomatis mengenkripsi data Anda seperti yang ditulis ke Amazon S3 dan mendekripsi untuk Anda saat Anda mengaksesnya. Tidak ada perubahan dalam cara Anda mengakses objek yang dienkripsi secara otomatis.

Apakah saya perlu mengubah cara saya mengakses objek terenkripsi di sisi klien?

Tidak. Semua objek terenkripsi di sisi klien yang dienkripsi sebelum diunggah ke Amazon S3 tiba sebagai objek teks sandi terenkripsi dalam Amazon S3. Objek-objek ini sekarang akan memiliki lapisan tambahan enkripsi SSE -S3. Beban kerja Anda yang menggunakan objek yang terenkripsi di sisi klien tidak akan memerlukan perubahan apa pun pada layanan klien atau pengaturan otorisasi Anda.

catatan

HashiCorp Pengguna Terraform yang tidak menggunakan versi AWS Penyedia yang diperbarui mungkin melihat penyimpangan yang tidak terduga setelah membuat bucket S3 baru tanpa konfigurasi enkripsi yang ditentukan pelanggan. Untuk menghindari penyimpangan ini, perbarui versi AWS Penyedia Terraform Anda ke salah satu versi berikut: apa saja 4.x rilis, 3.76.1, atau 2.70.4.