Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menentukan enkripsi di sisi server dengan AWS KMS (SSE-KMS)
penting
Amazon S3 sudah menerapkan enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi bagi setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di dan SDK. AWS Command Line Interface AWS Untuk informasi selengkapnya, lihat FAQ enkripsi default.
Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat sedang tidak aktif. Enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Untuk menggunakan jenis enkripsi yang berbeda, Anda dapat menentukan jenis enkripsi di sisi server yang akan digunakan dalam permintaan PUT
S3, atau Anda dapat mengatur konfigurasi enkripsi default di bucket tujuan.
Jika Anda ingin menentukan jenis enkripsi yang berbeda dalam PUT
permintaan Anda, Anda dapat menggunakan enkripsi sisi server dengan
AWS Key Management Service () kunci (SSE-KMS AWS KMS), enkripsi sisi server dua lapis dengan kunci (DSSE-KMS), atau enkripsi sisi server dengan AWS KMS kunci yang disediakan pelanggan (SSE-C). Jika Anda ingin mengatur konfigurasi enkripsi default yang berbeda di dalam bucket tujuan, Anda dapat menggunakan SSE-KMS atau DSSE-KMS.
Anda dapat menerapkan enkripsi saat mengunggah objek baru, atau menyalin objek yang sudah ada.
Anda dapat menentukan SSE-KMS menggunakan konsol Amazon S3, operasi REST API, AWS SDK, dan (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat topik berikut.
catatan
Anda dapat menggunakan Multi-wilayah AWS KMS keys di Amazon S3. Namun, Amazon S3 saat ini memperlakukan kunci multi-Wilayah selayaknya kunci satu Wilayah, dan tidak menggunakan fitur multi-Wilayah dari kunci tersebut. Untuk informasi selengkapnya, lihat Menggunakan kunci multi-Wilayah di Panduan Pengembang AWS Key Management Service .
catatan
Jika Anda ingin menggunakan kunci KMS yang dimiliki oleh akun lain, Anda harus memiliki izin untuk menggunakan kunci tersebut. Untuk informasi selengkapnya tentang izin lintas akun untuk kunci KMS, lihat Membuat kunci KMS yang dapat digunakan oleh akun lain di Panduan Pengembang AWS Key Management Service .
Topik ini menjelaskan cara mengatur atau mengubah jenis enkripsi objek untuk menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) kunci (SSE-KMS) dengan menggunakan konsol Amazon S3.
catatan
-
Jika Anda mengubah enkripsi objek, sebuah objek baru akan dibuat untuk menggantikan objek yang lama. Jika Penentuan Versi S3 diaktifkan, versi baru objek akan dibuat, dan objek yang sudah ada menjadi versi yang lebih lama. Peran yang mengubah properti juga menjadi pemilik objek baru (atau versi objek).
-
Jika Anda mengubah jenis enkripsi untuk objek yang memiliki tag yang ditentukan pengguna, Anda harus memiliki izin.
s3:GetObjectTagging
Jika Anda mengubah jenis enkripsi untuk objek yang tidak memiliki tag yang ditentukan pengguna tetapi berukuran lebih dari 16 MB, Anda juga harus memiliki izin.s3:GetObjectTagging
Jika kebijakan bucket tujuan menolak
s3:GetObjectTagging
tindakan, jenis enkripsi untuk objek akan diperbarui, tetapi tag yang ditentukan pengguna akan dihapus dari objek, dan Anda akan menerima kesalahan.
Untuk menambahkan atau mengubah enkripsi untuk objek
-
Di panel navigasi kiri, pilih Bucket.
-
Di dalam daftar Bucket, pilih nama bucket yang berisi objek.
-
Di dalam daftar Objek, pilih nama objek yang ingin Anda tambahkan atau ubah enkripsinya.
Halaman detail objek muncul, dengan beberapa bagian yang menampilkan properti untuk objek Anda.
-
Pilih tab Properti.
-
Gulir ke bawah ke bagian Pengaturan enkripsi di sisi server, lalu pilih Edit.
Halaman Edit enkripsi di sisi server terbuka.
-
Di bawah enkripsi di sisi server, untuk Pengaturan enkripsi, pilih Timpa pengaturan bucket enkripsi default.
-
Di bawah Jenis enkripsi, pilih Enkripsi sisi server dengan AWS Key Management Service kunci (SSE-KMS).
penting
Jika Anda menggunakan opsi SSE-KMS untuk konfigurasi enkripsi default, Anda tunduk pada kuota permintaan per detik (RPS) AWS KMS. Untuk informasi selengkapnya tentang kuota AWS KMS dan cara meminta kenaikan kuota, lihat Kuota di Panduan Pengembang AWS Key Management Service .
-
Di bagian bawah AWS KMS kunci, lakukan salah satu langkah berikut untuk memilih kunci KMS Anda:
-
Untuk memilih dari daftar kunci KMS yang tersedia, pilih Pilih dari AWS KMS keys Anda, dan pilih Kunci KMS Anda dari daftar kunci yang tersedia.
Kunci Kunci yang dikelola AWS (
aws/s3
) dan kunci terkelola pelanggan Anda muncul dalam daftar ini. Untuk informasi selengkapnya tentang CMK, lihat Kunci pelanggan dan AWS kunci di AWS Key Management Service Panduan Pengembang. -
Untuk memasukkan ARN kunci KMS, pilih Masukkan AWS KMS key ARN, lalu masukkan ARN kunci KMS Anda di bidang yang muncul.
-
Untuk membuat kunci terkelola pelanggan baru di AWS KMS konsol, pilih Buat kunci KMS.
Untuk informasi selengkapnya tentang membuat AWS KMS key, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.
penting
Anda hanya dapat menggunakan tombol KMS yang tersedia Wilayah AWS sama dengan bucket. Konsol Amazon S3 hanya mencantumkan kunci 100 KMS pertama di Wilayah yang sama dengan bucket. Untuk menggunakan kunci KMS yang tidak terdaftar, Anda harus memasukkan ARN kunci KMS Anda. Jika Anda ingin menggunakan kunci KMS yang dimiliki oleh akun lain, Anda harus terlebih dahulu memiliki izin untuk menggunakan kunci tersebut, dan kemudian Anda harus memasukkan ARN kunci KMS.
Amazon S3 hanya mendukung kunci KMS enkripsi simetris, dan tidak mendukung kunci KMS asimetris. Untuk informasi selengkapnya, lihat Mengidentifikasi tombol KMS simetris dan asimetris dalam Panduan Pengembang AWS Key Management Service .
-
-
Pilih Simpan perubahan.
catatan
Tindakan ini menerapkan enkripsi untuk semua objek yang ditentukan. Saat mengenkripsi folder, tunggu hingga operasi penyimpanannya selesai sebelum menambahkan objek baru ke folder tersebut.
Saat Anda membuat sebuah objek—yaitu, ketika Anda mengunggah objek baru atau menyalin objek yang sudah ada—Anda dapat menentukan penggunaan enkripsi di sisi server dengan AWS KMS keys
(SSE-KMS) untuk mengenkripsi data Anda. Untuk melakukannya, tambahkan header x-amz-server-side-encryption
ke permintaan. Atur nilai header ke algoritma enkripsi. aws:kms
. Amazon S3 mengonfirmasi bahwa objek Anda disimpan menggunakan SSE-KMS dengan mengembalikan header respons x-amz-server-side-encryption
.
Jika Anda menentukan header x-amz-server-side-encryption
dengan nilai aws:kms
, Anda juga dapat menggunakan header permintaan berikut ini:
-
x-amz-server-side-encryption-aws-kms-key-id
-
x-amz-server-side-encryption-context
-
x-amz-server-side-encryption-bucket-key-enabled
Topik
Operasi API REST Amazon S3 yang mendukung SSE-KMS
Operasi API REST berikut ini menerima header permintaan x-amz-server-side-encryption
, x-amz-server-side-encryption-aws-kms-key-id
, dan x-amz-server-side-encryption-context
.
-
PutObject–Saat Anda mengunggah data dengan menggunakan operasi API
PUT
, Anda dapat menentukan header permintaan ini. -
CopyObject–Saat Anda menyalin objek, Anda memiliki objek sumber dan objek target. Ketika Anda melewati header SSE-KMS dengan
CopyObject
operasi, mereka hanya diterapkan ke objek target. Saat Anda menyalin objek yang ada, terlepas dari apakah objek sumber dienkripsi atau tidak, objek tujuan tidak dienkripsi kecuali Anda secara eksplisit meminta enkripsi sisi server. -
POST Object— Saat Anda menggunakan
POST
operasi untuk mengunggah objek, alih-alih header permintaan, Anda memberikan informasi yang sama di bidang formulir. -
CreateMultipartUpload— Saat Anda mengunggah objek besar dengan menggunakan operasi API unggahan multibagian, Anda dapat menentukan header ini. Anda menentukan header ini dalam
CreateMultipartUpload
permintaan.
Header respons dari operasi API REST berikut mengembalikan header x-amz-server-side-encryption
saat objek disimpan menggunakan enkripsi di sisi server.
penting
-
Semua
GET
danPUT
permintaan untuk objek yang dilindungi oleh AWS KMS gagal jika Anda tidak membuat permintaan ini dengan menggunakan Secure Sockets Layer (SSL), Transport Layer Security (TLS), atau Signature Version 4. -
Jika objek Anda menggunakan SSE-KMS, jangan mengirim header permintaan enkripsi untuk
GET
permintaan danHEAD
permintaan, atau Anda akan mendapatkan kesalahan HTTP 400. BadRequest
Konteks enkripsi (x-amz-server-side-encryption-context
)
Jika Anda menentukan x-amz-server-side-encryption:aws:kms
, API Amazon S3 mendukung konteks enkripsi dengan header x-amz-server-side-encryption-context
. Konteks enkripsi adalah seperangkat pasangan nilai kunci yang berisi informasi kontekstual tambahan terkait data.
Amazon S3 secara otomatis menggunakan objek atau bucket Amazon Resource Name (ARN) sebagai pasangan konteks enkripsi. Jika Anda menggunakan SSE-KMS tanpa mengaktifkan Kunci Bucket S3, Anda menggunakan objek ARN sebagai konteks enkripsi Anda; misalnya, arn:aws:s3:::
. Namun, jika Anda menggunakan SSE-KMS dan mengaktifkan S3 Bucket Key, Anda menggunakan objek ARN sebagai konteks enkripsi Anda; misalnya, object_ARN
arn:aws:s3:::
. bucket_ARN
Anda dapat secara opsional memberikan pasangan konteks enkripsi tambahan dengan menggunakan header x-amz-server-side-encryption-context
. Namun, karena konteks enkripsi tidak dienkripsi, pastikan itu tidak menyertakan informasi sensitif. Amazon S3 menyimpan pasangan kunci tambahan ini bersama dengan konteks enkripsi default.
Untuk informasi tentang konteks enkripsi di Amazon S3, lihat Konteks enkripsi. Untuk informasi umum tentang konteks enkripsi, lihat AWS Key Management Service Konsep-Konteks enkripsi dalam Panduan Pengembang AWS Key Management Service .
AWS KMS ID kunci (x-amz-server-side-encryption-aws-kms-key-id
)
Anda dapat menggunakan header x-amz-server-side-encryption-aws-kms-key-id
untuk menentukan ID CMK, yang digunakan untuk melindungi data. Jika Anda menentukan header x-amz-server-side-encryption:aws:kms
tetapi tidak memberikan header x-amz-server-side-encryption-aws-kms-key-id
, Amazon S3 menggunakan Kunci yang dikelola AWS (aws/s3
) untuk melindungi data tersebut. Jika Anda ingin menggunakan CMK, Anda harus memberikan header x-amz-server-side-encryption-aws-kms-key-id
kunci yang dikelola pelanggan.
penting
Saat Anda menggunakan enkripsi sisi server AWS KMS key untuk Amazon S3, Anda harus memilih kunci KMS enkripsi simetris. Amazon S3 hanya mendukung kunci KMS enkripsi simetris. Untuk informasi selengkapnya terkait kunci ini, lihat Membuat kunci enkripsi simetris KMS dalam Panduan Pengembang AWS Key Management Service .
Kunci Bucket S3 () x-amz-server-side-encryption-aws-bucket-key-enabled
Anda dapat menggunakan header x-amz-server-side-encryption-aws-bucket-key-enabled
permintaan untuk mengaktifkan atau menonaktifkan Kunci Bucket S3 di tingkat objek. Kunci Bucket S3 mengurangi biaya AWS KMS permintaan Anda dengan mengurangi lalu lintas permintaan dari Amazon S3 ke. AWS KMS Untuk informasi selengkapnya, lihat Mengurangi biaya SSE-KMS dengan Kunci Bucket Amazon S3.
Jika Anda menentukan header x-amz-server-side-encryption:aws:kms
tapi tidak memberikan header x-amz-server-side-encryption-aws-bucket-key-enabled
, objek Anda menggunakan pengaturan Kunci Bucket S3 pada bucket tujuan untuk mengenkripsi objek Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi Kunci Bucket S3 pada tingkat objek .
Untuk menggunakan contoh AWS CLI perintah berikut, ganti
dengan informasi Anda sendiri.user input
placeholders
Saat Anda mengunggah objek baru atau menyalin objek yang ada, Anda dapat menentukan penggunaan enkripsi sisi server dengan AWS KMS kunci untuk mengenkripsi data Anda. Untuk melakukannya, tambahkan header --server-side-encryption aws:kms
ke permintaan. Gunakan tombol --ssekms-key-id
untuk menambahkan AWS KMS kunci terkelola pelanggan yang Anda buat. Jika Anda menentukanexample-key-id
--server-side-encryption
aws:kms
, tetapi tidak memberikan ID AWS KMS kunci, Amazon S3 akan menggunakan kunci AWS terkelola.
aws s3api put-object --bucket
DOC-EXAMPLE-BUCKET
--keyexample-object-key
--server-side-encryption aws:kms --ssekms-key-idexample-key-id
--ssekms-encryption-contextexample-encryption-context
--bodyfilepath
Anda dapat mengaktifkan atau menonaktifkan Kunci Bucket S3 pada copy-object
operasi Anda put-object
atau dengan menambahkan --bucket-key-enabled
atau--no-bucket-key-enabled
. Kunci Bucket S3 dapat mengurangi biaya AWS KMS permintaan Anda dengan mengurangi lalu lintas permintaan dari Amazon S3 ke. AWS KMS Untuk informasi selengkapnya, lihat Mengurangi biaya SSE-KMS dengan S3 Bucket Keys.
aws s3api put-object --bucket
DOC-EXAMPLE-BUCKET
--keyexample-object-key
--server-side-encryption aws:kms --bucket-key-enabled --bodyfilepath
Anda dapat menyalin objek dari bucket sumber ke bucket baru dan menentukan enkripsi SSE-KMS.
aws s3api copy-object --copy-source
DOC-EXAMPLE-BUCKET
/example-object-key
--bucketDOC-EXAMPLE-BUCKET2
--keyexample-object-key
--server-side-encryption aws:kms --sse-kms-key-idexample-key-id
--ssekms-encryption-contextexample-encryption-context
Saat menggunakan AWS SDK, Anda dapat meminta Amazon S3 untuk AWS KMS keys digunakan untuk enkripsi sisi server. Contoh berikut menunjukkan bagaimana menggunakan SSE-KMS dengan AWS SDK untuk Java dan .NET. Untuk informasi tentang SDK lain, lihat Contoh kode dan pustaka di Pusat
penting
Saat Anda menggunakan enkripsi sisi server AWS KMS key untuk Amazon S3, Anda harus memilih kunci KMS enkripsi simetris. Amazon S3 hanya mendukung kunci KMS enkripsi simetris. Untuk informasi selengkapnya terkait kunci ini, lihat Membuat kunci enkripsi simetris KMS dalam Panduan Pengembang AWS Key Management Service .
Operasi CopyObject
Saat menyalin objek, Anda menambahkan properti permintaan yang sama (ServerSideEncryptionMethod
dan ServerSideEncryptionKeyManagementServiceKeyId
) untuk meminta Amazon S3 menggunakan AWS KMS key. Untuk informasi selengkapnya tentang menyalin objek, lihat Menyalin, memindahkan, dan mengganti nama objek.