Configuración de SSE-C predeterminada para preguntas frecuentes de buckets nuevos
importante
Como se anunció el 19 de noviembre de 2025,
Con estos cambios, las aplicaciones que necesitan el cifrado SSE-C deberán habilitar deliberadamente el uso de SSE-C a través de la operación de la API PutBucketEncryption después de crear un bucket nuevo.
Las siguientes secciones responden a las preguntas sobre esta actualización.
1. En abril de 2026, ¿entrará en vigor la nueva configuración de SSE-C para todos los buckets recién creados?
Sí. Esta implementación comenzó el 6 de abril de 2026 y se completará en las próximas semanas en 37 regiones de AWS, incluidas las regiones de AWS China y AWS GovCloud (EE. UU.).
nota
Cuando se complete la implementación, los buckets recién creados en todas las regiones de AWS, excepto Medio Oriente (Baréin) y Oriente Medio (Emiratos Árabes Unidos), tendrán SSE-C desactivado de forma predeterminada.
2. ¿Cuánto tiempo pasará antes de que esta implementación cubra todas las regiones de AWS?
La implementación comenzó el 6 de abril de 2026 y se completará en unas semanas.
3. Cómo sabré que la actualización se ha completado?
Para determinar fácilmente si el cambio se ha realizado en la región de AWS, cree un nuevo bucket y llame a la operación de la API GetBucketEncryption para determinar si el cifrado SSE-C está desactivado. Una vez finalizada la actualización, todos los buckets de uso general desactivarán automáticamente el cifrado SSE-C de forma predeterminada. Puede ajustar esta configuración después de crear el bucket de S3 mediante la operación de la API PutBucketEncryption.
4. Amazon S3 actualizará las configuraciones de mis bucket existentes?
Si la cuenta de AWS no tiene ningún objeto con cifrado SSE-C, AWS desactivará el cifrado SSE-C en todos los buckets existentes. Si algún bucket de la cuenta de AWS tiene objetos con cifrado SSE-C, AWS no cambiará la configuración del bucket de ninguno de los buckets de esa cuenta. Cuando se complete el cambio CreateBucket en la región de AWS, la nueva configuración predeterminada se aplicará a todos los nuevos buckets de uso general.
5. Puedo desactivar el cifrado SSE-C para mis buckets antes de que se complete la actualización?
Sí. Para desactivar el cifrado SSE-C en cualquier bucket, llame a la operación de la API PutBucketEncryption y especifique el nuevo encabezado BlockedEncryptionTypes.
6. Puedo usar SSE-C para cifrar los datos de mis nuevos buckets?
Sí. En la mayoría de casos de uso modernos de Amazon S3 ya no se utiliza SSE-C porque no tiene la flexibilidad del cifrado del servidor con claves administradas por Amazon S3 (SSE-S3) o el cifrado del servidor con claves de AWS KMS (SSE-KMS). Si necesita usar el cifrado SSE-C en un bucket nuevo, puede crear el nuevo bucket y, a continuación, habilitar el uso del cifrado SSE-C en una solicitud PutBucketEncryption independiente.
Ejemplo
aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }'
nota
Debe tener el permiso s3:PutEncryptionConfiguration para llamar a la API PutBucketEncryption.
7. Cómo afecta el bloqueo de SSE-C a las solicitudes a mi bucket?
Cuando se bloquea SSE-C para un bucket, cualquier solicitud PutObject, CopyObject, PostObject o de replicación o carga multiparte que especifique el cifrado SSE-C se rechazará con un error HTTP 403 AccessDenied.
