Configuración de SSE-C predeterminada para preguntas frecuentes de buckets nuevos
importante
A partir de abril de 2026, AWS desactivará el cifrado del servidor con claves proporcionadas por el cliente (SSE-C) para todos los buckets nuevos. Además, el cifrado SSE-C se desactivará para todos los buckets existentes en Cuentas de AWS que no contengan datos cifrados con SSE-C. Con estos cambios, las pocas aplicaciones que necesitan el cifrado SSE-C deberán habilitar deliberadamente el uso de SSE-C a través de la API PutBucketEncryption después de crear el bucket. En estos casos, es posible que deba actualizar los scripts de automatización, las plantillas de CloudFormation u otras herramientas de configuración de infraestructura para configurar estos ajustes. Para obtener más información, consulte la publicación del Blog de almacenamiento de AWS
Las siguientes secciones responden a las preguntas sobre esta actualización.
1. En abril de 2026, ¿entrará en vigor la nueva configuración de SSE-C para todos los buckets recién creados?
Sí. Durante el mes de abril de 2026, la nueva configuración predeterminada se implementará gradualmente en todas las regiones de AWS.
2. ¿Cuánto tiempo pasará antes de que esta implementación cubra todas las regiones de AWS?
Esta actualización tardará varias semanas en lanzarse. Realizaremos una publicación sobre las novedades cuando empecemos a implementar esta actualización.
3. Cómo sabré que la actualización se ha completado?
Para determinar fácilmente si el cambio se ha realizado en la región de AWS, cree un nuevo bucket y llame a la operación de la API GetBucketEncryption para determinar si el cifrado SSE-C está desactivado. Una vez finalizada la actualización, todos los buckets de uso general desactivarán automáticamente el cifrado SSE-C de forma predeterminada. Puede ajustar esta configuración después de crear el bucket de S3 mediante la operación de la API PutBucketEncryption.
4. Amazon S3 actualizará las configuraciones de mis bucket existentes?
Si la cuenta de AWS no tiene ningún objeto con cifrado SSE-C, AWS desactivará el cifrado SSE-C en todos los buckets existentes. Si algún bucket de la cuenta de AWS tiene objetos con cifrado SSE-C, AWS no cambiará la configuración del bucket de ninguno de los buckets de esa cuenta. Cuando se complete el cambio CreateBucket en la región de AWS, la nueva configuración predeterminada se aplicará a todos los nuevos buckets de uso general.
5. ¿Puedo desactivar el cifrado SSE-C para mis buckets antes de que se complete la actualización?
Sí. Para desactivar el cifrado SSE-C en cualquier bucket, llame a la operación de la API PutBucketEncryption y especifique el nuevo encabezado BlockedEncryptionTypes.
6. ¿Puedo usar SSE-C para cifrar los datos de mis nuevos buckets?
Sí. En la mayoría de casos de uso modernos de Amazon S3 ya no se utiliza SSE-C porque no tiene la flexibilidad del cifrado del servidor con claves administradas por Amazon S3 (SSE-S3) o el cifrado del servidor con claves de AWS KMS (SSE-KMS). Si necesita usar el cifrado SSE-C en un bucket nuevo, puede crear el nuevo bucket y, a continuación, habilitar el uso del cifrado SSE-C en una solicitud PutBucketEncryption independiente.
Ejemplo
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
nota
Debe tener el permiso s3:PutEncryptionConfiguration para llamar a la API PutBucketEncryption.
7. ¿Cómo afecta el bloqueo de SSE-C a las solicitudes a mi bucket?
Cuando se bloquea SSE-C para un bucket, cualquier solicitud PutObject, CopyObject, PostObject o de replicación o carga multiparte que especifique el cifrado SSE-C se rechazará con un error HTTP 403 AccessDenied.
