Agora o Amazon S3 criptografa automaticamente todos os objetos novos - Amazon Simple Storage Service

Agora o Amazon S3 criptografa automaticamente todos os objetos novos

O Amazon S3 agora aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. A SSE-S3, que usa criptografia AES-256 (Advanced Encryption Standard de 256 bits), é aplicada automaticamente a todos os novos buckets e a todos os buckets do S3 existentes que ainda não tenham a criptografia padrão configurada. O status de criptografia automática para a configuração de criptografia padrão do bucket do S3 e para novos uploads de objetos está disponível em logs do AWS CloudTrail, no Inventário do S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface (AWS CLI) e nos AWS SDKs.

As seções a seguir respondem a perguntas sobre essa atualização.

O Amazon S3 altera as configurações de criptografia padrão para meus buckets existentes que já têm a criptografia padrão configurada?

Não. Não há nenhuma alteração na configuração de criptografia padrão para um bucket existente que já tenha a criptografia SSE-S3 ou a criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS) configuradas. Para obter mais informações sobre como definir o comportamento de criptografia padrão para buckets, consulte Definir o comportamento padrão da criptografia para os buckets do Amazon S3. Para obter mais informações sobre configurações de criptografia SSE-S3 e SSE-KMS, consulte Proteger os dados usando criptografia do lado do servidor.

A criptografia padrão é ativada em meus buckets existentes que não têm a criptografia padrão configurada?

Sim. O Amazon S3 agora configura a criptografia padrão em todos os buckets não criptografados para aplicar a criptografia do lado do servidor com chaves gerenciadas do S3 (SSE-S3) como o nível básico de criptografia para novos objetos carregados nesses buckets. Objetos que já estão em um bucket não criptografado existente não serão criptografados automaticamente.

Como posso ver o status de criptografia padrão de novos uploads de objetos?

Atualmente, é possível visualizar o status de criptografia padrão de novos uploads de objetos em logs do AWS CloudTrail, no Inventário do S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface (AWS CLI) e em AWS SDKs.

  • Para ver seus eventos do CloudTrail, consulte Visualizar eventos do CloudTrail no console do CloudTrail no Guia do usuário do AWS CloudTrail. Os logs do CloudTrail fornecem monitoramento de API para solicitações PUT e POST para o Amazon S3. Quando a criptografia padrão está sendo usada para criptografar objetos nos buckets, os logs do CloudTrail para solicitações de API PUT e POST incluem o seguinte campo como o par de nome-valor: "SSEApplied":"Default_SSE_S3".

  • Para visualizar o status de criptografia automática de novos uploads de objetos no Inventário do S3, configure um relatório do Inventário do S3 para incluir o campo de metadados Encryption (Criptografia), depois veja o status de criptografia de cada novo objeto no relatório. Para obter mais informações, consulte Configurar o Inventário do Amazon S3.

  • Para ver o status de criptografia automática de novos uploads de objetos na Lente de Armazenamento do S3, configure um painel da Lente de Armazenamento do S3 e veja as métricas Encrypted bytes (Bytes criptografados) Encrypted object count (Contagem de objetos criptografados) na categoria Data protection (Proteção de dados) do painel. Para obter mais informações, consulte Criação de um painel do Amazon S3 Storage Lens e Exibição das métricas da lente de armazenamento do S3 nos painéis.

  • Para ver o status da criptografia automática no nível do bucket no console do Amazon S3, verifique a criptografia padrão dos buckets do Amazon S3 no console do Amazon S3. Para ter mais informações, consulte Configurar a criptografia padrão.

  • Para ver o status de criptografia automática como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface (AWS CLI) e em AWS SDKs, verifique o cabeçalho de resposta x-amz-server-side-encryption ao usar APIs de ação do objeto, como PutObject e GetObject.

O que preciso fazer para aproveitar essa mudança?

Você não precisa fazer nenhuma alteração em suas aplicações existentes. Como a criptografia padrão está habilitada para todos os seus buckets, todos os novos objetos enviados para o Amazon S3 serão criptografados automaticamente.

Posso desativar a criptografia para os novos objetos que serão gravados no meu bucket?

Não. A SSE-S3 é o novo nível básico de criptografia aplicado a todos os novos objetos que são enviados para o bucket. Não é mais possível desativar a criptografia para novos uploads de objetos.

Minhas cobranças serão afetadas?

Não. A criptografia padrão com SSE-S3 está disponível sem nenhum custo adicional. Serão cobrados o armazenamento, as solicitações e outros recursos do S3, como de costume. Para obter informações sobre preços, consulte Definição de preços do Amazon S3.

O Amazon S3 vai criptografar meus objetos existentes que não estão criptografados?

Não. A partir de 5 de janeiro de 2023, o Amazon S3 criptografa automaticamente somente novos uploads de objetos. Para criptografar objetos existentes, você pode usar o recurso Operações em Lote do S3 para criar cópias criptografadas de seus objetos. Essas cópias criptografadas reterão os dados e o nome do objeto existente e serão criptografadas usando as chaves de criptografia que você especificar. Para obter mais detalhes, consulte Criptografia de objetos com o recurso Operações em Lote do Amazon S3 no blog de armazenamento da AWS.

Eu não habilitei a criptografia para meus buckets antes desse lançamento. Preciso mudar a forma como acesso os objetos?

Não. A criptografia padrão com SSE-S3 criptografa automaticamente seus dados à medida que são gravados no Amazon S3 e os descriptografa para você quando os acessa. Não há nenhuma alteração na forma como você acessa objetos que são criptografados automaticamente.

Preciso mudar a forma como acesso meus objetos com criptografia do lado do cliente?

Não. Todos os objetos criptografados do lado do cliente antes de serem carregados no Amazon S3 chegam como objetos de texto cifrado criptografados no Amazon S3. Esses objetos agora terão uma camada adicional de criptografia SSE-S3. Suas workloads que usam objetos criptografados do lado do cliente não exigirão nenhuma alteração nos serviços do cliente ou nas configurações de autorização.

nota

Os usuários da Terraform da HashiCorp que não usam uma versão atualizada do AWS Provider talvez vejam uma mudança inesperada depois de criar buckets do S3 sem nenhuma configuração de criptografia definida pelo cliente. Para evitar esse desvio, atualize sua versão do AWS Provider para Terraform para uma das seguintes versões: qualquer versão 4.x, 3.76.1 ou 2.70.4.