新しいバケットの SSE-C 設定に関するよくある質問

以下のセクションでは、この更新に関する質問に答えます。

1. 2026 年 4 月には、新しく作成されたすべてのバケットに新しい SSE-C 設定が適用されますか?

はい。このデプロイは 2026 年 4 月 6 日に開始され、AWS 中国および AWS GovCloud (米国) リージョンを含む 37 の AWS リージョンで今後数週間で完了します。

2. このロールアウトがすべての AWS リージョンをカバーするまでにはどれくらいの時間がかかりますか?

デプロイは 2026 年 4 月 6 日に開始され、数週間で完了します。

3. 更新が完了したかどうかはどうすればわかりますか?

新しいバケットを作成し、GetBucketEncryption API オペレーションを呼び出して SSE-C 暗号化が無効になっているかどうかを判断することで、ユーザーの AWS リージョンで変更が完了したかどうかを簡単に判断できます。更新が完了すると、すべての新しい汎用バケットでは SSE-C 暗号化がデフォルトで自動的に無効になります。これらの設定は、S3 バケットの作成後に PutBucketEncryption API オペレーションを呼び出して調整できます。

4. Amazon S3 は既存のバケット設定を更新しますか?

AWS アカウントに SSE-C 暗号化オブジェクトがない場合、AWS は既存のすべてのバケットで SSE-C 暗号化を無効にします。AWS アカウントのバケットに SSE-C で暗号化されたオブジェクトがある場合、AWS はそのアカウントのバケットのバケット設定を変更しません。AWS リージョン CreateBucket の変更が完了すると、新しいデフォルト設定がすべての新しい汎用バケットに適用されます。

5. 更新が完了する前にバケットの SSE-C 暗号化を無効にすることはできますか?

はい。PutBucketEncryption API オペレーションを呼び出して新しい BlockedEncryptionTypes ヘッダーを指定することで、任意のバケットの SSE-C 暗号化を無効にすることができます。

6. SSE-C を使用して新しいバケット内のデータを暗号化できますか?

はい。Amazon S3 の最新のユースケースのほとんどでは、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) や AWS KMS キーによるサーバー側の暗号化 (SSE-KMS) の柔軟性が欠けているため、SSE-C は使用されなくなりました。新しいバケットで SSE-C 暗号化を使用する必要がある場合は、新しいバケットを作成してから、別の PutBucketEncryption リクエストで SSE-C 暗号化の使用を有効にすることができます。

例

aws s3api create-bucket \  
bucket amzn-s3-demo-bucket \ 
region us-east-1 \ 
  
aws s3api put-bucket-encryption \  
-- bucket amzn-s3-demo-bucket \
-- server-side-encryption-configuration \
'{ \Rules\: [{   
   {   
   \ApplyServerSideEncryptionByDefault\: {   
     \SSEAlgorithm\: \AES256\,  
    },   
   \BlockedEncryptionTypes\: [  
     \EncryptionType\:\NONE\]   
   }   
   }]   
}'

7. SSE-C をブロックすると、バケットへのリクエストにどのような影響がありますか?

バケットに対して SSE-C がブロックされている場合、SSE-C 暗号化を指定する PutObject、CopyObject、PostObject、またはマルチパートアップロードまたはレプリケーションリクエストは、HTTP 403 AccessDenied エラーで拒否されます。