# Configuración de SSE-C predeterminada para preguntas frecuentes de buckets nuevos **importante** Como se [anunció el 19 de noviembre de 2025,](https://aws.amazon.com/blogs/storage/advanced-notice-amazon-s3-to-disable-the-use-of-sse-c-encryption-by-default-for-all-new-buckets-and-select-existing-buckets-in-april-2026/) Amazon Simple Storage Service implementará una nueva configuración de seguridad de buckets predeterminada que desactivará automáticamente el cifrado del servidor con claves proporcionadas por el cliente (SSE-C) para todos los buckets de propósito general nuevos. Para los buckets existentes en Cuentas de AWS sin objetos cifrados de SSE-C, Amazon S3 también desactivará SSE-C para todas las nuevas solicitudes de escritura. Para Cuentas de AWS con el uso de SSE-C, Amazon S3 no cambiará la configuración de cifrado de los buckets en ninguno de los buckets existentes en esas cuentas. Esta implementación comenzó el 6 de abril de 2026 y se completará en las próximas semanas en 37 regiones de AWS, incluidas las regiones de AWS China y AWS GovCloud (EE. UU.). Con estos cambios, las aplicaciones que necesitan el cifrado SSE-C deberán habilitar deliberadamente el uso de SSE-C a través de la operación de la API [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) después de crear un bucket nuevo. Las siguientes secciones responden a las preguntas sobre esta actualización. **1. En abril de 2026, ¿entrará en vigor la nueva configuración de SSE-C para todos los buckets recién creados?** Sí. Esta implementación comenzó el 6 de abril de 2026 y se completará en las próximas semanas en 37 regiones de AWS, incluidas las regiones de AWS China y AWS GovCloud (EE. UU.). **nota** Cuando se complete la implementación, los buckets recién creados en todas las regiones de AWS, excepto Medio Oriente (Baréin) y Oriente Medio (Emiratos Árabes Unidos), tendrán SSE-C desactivado de forma predeterminada. **2. ¿Cuánto tiempo pasará antes de que esta implementación cubra todas las regiones de AWS?** La implementación comenzó el 6 de abril de 2026 y se completará en unas semanas. **3. Cómo sabré que la actualización se ha completado?** Para determinar fácilmente si el cambio se ha realizado en la región de AWS, cree un nuevo bucket y llame a la operación de la API [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html) para determinar si el cifrado SSE-C está desactivado. Una vez finalizada la actualización, todos los buckets de uso general desactivarán automáticamente el cifrado SSE-C de forma predeterminada. Puede ajustar esta configuración después de crear el bucket de S3 mediante la operación de la API [PutBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html). **4. Amazon S3 actualizará las configuraciones de mis bucket existentes?** Si la cuenta de AWS no tiene ningún objeto con cifrado SSE-C, AWS desactivará el cifrado SSE-C en todos los buckets existentes. Si algún bucket de la cuenta de AWS tiene objetos con cifrado SSE-C, AWS no cambiará la configuración del bucket de ninguno de los buckets de esa cuenta. Cuando se complete el cambio `CreateBucket` en la región de AWS, la nueva configuración predeterminada se aplicará a todos los nuevos buckets de uso general. **5. Puedo desactivar el cifrado SSE-C para mis buckets antes de que se complete la actualización?** Sí. Para desactivar el cifrado SSE-C en cualquier bucket, llame a la operación de la API [PutBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) y especifique el nuevo encabezado `BlockedEncryptionTypes`. **6. Puedo usar SSE-C para cifrar los datos de mis nuevos buckets?** Sí. En la mayoría de casos de uso modernos de Amazon S3 ya no se utiliza SSE-C porque no tiene la flexibilidad del cifrado del servidor con claves administradas por Amazon S3 (SSE-S3) o el cifrado del servidor con claves de AWS KMS (SSE-KMS). Si necesita usar el cifrado SSE-C en un bucket nuevo, puede crear el nuevo bucket y, a continuación, habilitar el uso del cifrado SSE-C en una solicitud `PutBucketEncryption` independiente. **Ejemplo** ``` aws s3api create-bucket \ bucket amzn-s3-demo-bucket \ region us-east-1 \ aws s3api put-bucket-encryption \ -- bucket amzn-s3-demo-bucket \ -- server-side-encryption-configuration \ '{ \Rules\: [{ { \ApplyServerSideEncryptionByDefault\: { \SSEAlgorithm\: \AES256\, }, \BlockedEncryptionTypes\: [ \EncryptionType\:\NONE\] } }] }' ``` **nota** Debe tener el permiso `s3:PutEncryptionConfiguration` para llamar a la API `PutBucketEncryption`. **7. Cómo afecta el bloqueo de SSE-C a las solicitudes a mi bucket?** Cuando se bloquea SSE-C para un bucket, cualquier solicitud `PutObject`, `CopyObject`, `PostObject` o de replicación o carga multiparte que especifique el cifrado SSE-C se rechazará con un error HTTP 403 `AccessDenied`.