View a markdown version of this page

Blocco o sblocco di SSE-C per un bucket per uso generico - Amazon Simple Storage Service
PermissionsConsiderazioni prima di bloccare la crittografia SSE-C

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Blocco o sblocco di SSE-C per un bucket per uso generico

A partire da aprile 2026, Amazon S3 disabilita automaticamente la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket generici. Amazon S3 ha inoltre disabilitato SSE-C per i bucket esistenti negli account senza oggetti crittografati SSE-C. Ciò significa che, per impostazione predefinita, le richieste di caricamento di oggetti tramite SSE-C vengono rifiutate con un errore HTTP 403. AccessDenied

SSE-C richiede di fornire la chiave di crittografia per ogni richiesta di lettura o scrittura di oggetti crittografati, rendendo difficile la condivisione dell'accesso con altri utenti, ruoli o AWS servizi che operano sui dati. La maggior parte dei carichi di lavoro utilizza invece la crittografia lato server con chiavi gestite Amazon S3 (SSE-S3) o chiavi KMS (SSE-KMS). AWS

Se il tuo carico di lavoro richiede SSE-C, puoi abilitarlo in modo esplicito aggiornando la configurazione di crittografia predefinita per il tuo bucket. Al contrario, se disponi di bucket esistenti in cui SSE-C è ancora consentito, puoi bloccarlo per impedire nuovi caricamenti SSE-C.

Quando SSE-C è bloccato per un bucketPutObject, qualsiasi richiesta di caricamento multiparte o di replica che CopyObject PostObject specifichi la crittografia SSE-C verrà rifiutata con un errore HTTP 403. AccessDenied Gli oggetti crittografati SSE-C esistenti nel bucket non sono interessati, è comunque possibile leggerli con o fornendo le intestazioni SSE-C richieste. GetObject HeadObject

Questa impostazione è un parametro dell'PutBucketEncryptionAPI e può essere aggiornata anche utilizzando la console S3, la AWS CLI o. AWS SDKs Devi disporre dell'autorizzazione s3:PutEncryptionConfiguration.

Importante

Amazon Simple Storage Service ora applica una nuova impostazione di sicurezza predefinita per i bucket che disabilita automaticamente la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket generici. Nell'aprile 2026, Amazon S3 ha distribuito un aggiornamento in modo che tutti i nuovi bucket generici abbiano la crittografia SSE-C disabilitata per tutte le nuove richieste di scrittura. Per i bucket esistenti senza oggetti crittografati SSE-C, Amazon S3 ha inoltre disabilitato SSE-C per tutte le nuove richieste di scrittura. Account AWS Con questa modifica, le applicazioni che richiedono la crittografia SSE-C devono abilitare deliberatamente SSE-C utilizzando l'operazione API dopo aver creato un nuovo bucket. PutBucketEncryption Per ulteriori informazioni su questa modifica, vedere. Domande frequenti sull'impostazione SSE-C predefinita per i nuovi bucket

Permissions

Usa l'PutBucketEncryptionAPI o la console S3 o la AWS CLI per bloccare o sbloccare i tipi di crittografia per un bucket generico. AWS SDKs È necessario disporre delle seguenti autorizzazioni:

  • s3:PutEncryptionConfiguration

Usa l'GetBucketEncryptionAPI o la console S3 o la AWS CLI per visualizzare i tipi di crittografia bloccati per un bucket generico. AWS SDKs È necessario disporre delle seguenti autorizzazioni:

  • s3:GetEncryptionConfiguration

Considerazioni prima di bloccare la crittografia SSE-C

Dopo aver bloccato SSE-C per qualsiasi bucket, si applica il seguente comportamento di crittografia:

  • Non è stata apportata alcuna modifica alla crittografia degli oggetti presenti nel bucket prima del blocco della crittografia SSE-C.

  • Dopo aver bloccato la crittografia SSE-C, è possibile continuare a effettuare GetObject HeadObject richieste su oggetti preesistenti crittografati con SSE-C purché si forniscano le intestazioni SSE-C richieste nelle richieste.

  • Quando SSE-C è bloccato per un bucket, qualsiasi richiesta di caricamento o multiparte che specifica la PutObject crittografia CopyObject SSE-C verrà rifiutata con un errore HTTP 403. PostObject AccessDenied

  • Se un bucket di destinazione per la replica ha SSE-C bloccato e gli oggetti di origine da replicare sono crittografati con SSE-C, la replica avrà esito negativo con un errore HTTP 403. AccessDenied

Se desideri verificare se stai utilizzando la crittografia SSE-C in uno qualsiasi dei tuoi bucket prima di bloccare questo tipo di crittografia, puoi utilizzare strumenti come il monitoraggio dell'accesso ai tuoi dati. AWS CloudTrail Questo post del blog mostra come controllare i metodi di crittografia per il caricamento di oggetti in tempo reale. Puoi anche fare riferimento a questo articolo di re:Post per aiutarti a consultare i report di S3 Inventory per verificare se disponi di oggetti crittografati SSE-C.

Fasi

Puoi bloccare o sbloccare la crittografia lato server con chiavi fornite dal cliente (SSE-C) per un bucket generico utilizzando la console Amazon S3, la ( AWS Command Line Interface )AWS CLI, l'API REST di Amazon S3 e. AWS SDKs

Per bloccare o sbloccare la crittografia SSE-C per un bucket utilizzando la console Amazon S3:

  1. Accedi alla console di AWS gestione e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra, scegli bucket generici.

  3. Seleziona il bucket per cui desideri bloccare la crittografia SSE-C.

  4. Seleziona la scheda Proprietà per il bucket.

  5. Vai al pannello delle proprietà di crittografia predefinita per il bucket e seleziona Modifica.

  6. Nella sezione Tipi di crittografia bloccati, seleziona la casella accanto a Crittografia lato server con chiavi fornite dal cliente (SSE-C) per bloccare la crittografia SSE-C o deseleziona questa casella per consentire SSE-C.

  7. Seleziona Salva modifiche.

Per installare la AWS CLI, consulta Installazione della AWS CLI nella Guida per l'utente.AWS Command Line Interface

Il seguente esempio CLI mostra come bloccare o sbloccare la crittografia SSE-C per un bucket generico utilizzando. AWS CLI Per utilizzare il comando, sostituiscilo con le tue informazioniuser input placeholders.

Richiesta di blocco della crittografia SSE-C per un bucket generico:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Richiesta di abilitazione dell'uso della crittografia SSE-C su un bucket generico:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
SDK for Java 2.x

Gli esempi seguenti mostrano come bloccare o sbloccare le scritture di crittografia SSE-C nei bucket generici utilizzando il AWS SDKs

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e bloccare SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e sbloccare SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
SDK for Python Boto3

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e bloccare SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e sbloccare SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Per informazioni sul supporto dell'API REST di Amazon S3 per il blocco o lo sblocco della crittografia SSE-C per un bucket generico, consulta la sezione seguente nel riferimento all'API di Amazon Simple Storage Service: