View a markdown version of this page

Blocco o sblocco di SSE-C per un bucket per uso generico - Amazon Simple Storage Service
PermissionsConsiderazioni prima di bloccare la crittografia SSE-C

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Blocco o sblocco di SSE-C per un bucket per uso generico

La maggior parte dei casi d'uso moderni in Amazon S3 non utilizza più la crittografia lato server con chiavi fornite dal cliente (SSE-C) perché manca la flessibilità della crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) o della crittografia lato server con chiavi KMS (SSE-KMS). AWS Il requisito di SSE-C di fornire la chiave di crittografia ogni volta che interagisci con i tuoi dati crittografati SSE-C rende poco pratico condividere la tua chiave SSE-C con altri utenti, ruoli o AWS servizi che leggono i dati dai tuoi bucket S3 per operare sui tuoi dati.

Per limitare i tipi di crittografia lato server che è possibile utilizzare nei bucket generici, è possibile scegliere di bloccare le richieste di scrittura SSE-C aggiornando la configurazione di crittografia predefinita per i bucket. Questa configurazione a livello di bucket blocca le richieste di caricamento di oggetti che specificano SSE-C. Quando SSE-C è bloccato per un bucket PutObjectCopyObject, PostObject tutte le richieste di caricamento o replica multipart o multipart che specificano la crittografia SSE-C verranno rifiutate con un errore HTTP 403. AccessDenied

Questa impostazione è un parametro dell'PutBucketEncryptionAPI e può essere aggiornata anche utilizzando la console S3, la AWS CLI AWS SDKs e, se s3:PutEncryptionConfiguration disponi dell'autorizzazione.

I valori validi sonoSSE-C, che blocca la crittografia SSE-C per il bucket generico eNONE, che consente l'uso di SSE-C per le scritture nel bucket.

Importante

Come annunciato il 19 novembre 2025, Amazon Simple Storage Service sta implementando una nuova impostazione di sicurezza predefinita per i bucket che disabilita automaticamente la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket generici. Per i bucket esistenti senza oggetti crittografati SSE-C, Amazon S3 disabiliterà anche SSE-C per tutte le nuove richieste di scrittura. Account AWS Infatti, Account AWS con l'utilizzo di SSE-C, Amazon S3 non modificherà la configurazione di crittografia dei bucket su nessuno dei bucket esistenti in tali account. Questa implementazione è iniziata il 6 aprile 2026 e sarà completata nelle prossime settimane in 37 AWS regioni, tra cui AWS Cina e regioni AWS GovCloud (Stati Uniti).

Con queste modifiche, le applicazioni che richiedono la crittografia SSE-C devono abilitare deliberatamente SSE-C utilizzando l'operazione PutBucketEncryptionAPI dopo la creazione di un nuovo bucket. Per ulteriori informazioni su questa modifica, vedere. Domande frequenti sull'impostazione SSE-C predefinita per i nuovi bucket

Permissions

Usa l'PutBucketEncryptionAPI o la console S3 o la AWS CLI per bloccare o sbloccare i tipi di crittografia per un bucket generico. AWS SDKs È necessario disporre delle seguenti autorizzazioni:

  • s3:PutEncryptionConfiguration

Usa l'GetBucketEncryptionAPI o la console S3 o la AWS CLI per visualizzare i tipi di crittografia bloccati per un bucket generico. AWS SDKs È necessario disporre delle seguenti autorizzazioni:

  • s3:GetEncryptionConfiguration

Considerazioni prima di bloccare la crittografia SSE-C

Dopo aver bloccato SSE-C per qualsiasi bucket, si applica il seguente comportamento di crittografia:

  • Non è stata apportata alcuna modifica alla crittografia degli oggetti presenti nel bucket prima del blocco della crittografia SSE-C.

  • Dopo aver bloccato la crittografia SSE-C, è possibile continuare a effettuare GetObject HeadObject richieste su oggetti preesistenti crittografati con SSE-C purché si forniscano le intestazioni SSE-C richieste nelle richieste.

  • Quando SSE-C è bloccato per un bucket, qualsiasi richiesta di caricamento o multiparte che specifica la PutObject crittografia CopyObject SSE-C verrà rifiutata con un errore HTTP 403. PostObject AccessDenied

  • Se un bucket di destinazione per la replica ha SSE-C bloccato e gli oggetti di origine da replicare sono crittografati con SSE-C, la replica avrà esito negativo con un errore HTTP 403. AccessDenied

Se desideri verificare se stai utilizzando la crittografia SSE-C in uno qualsiasi dei tuoi bucket prima di bloccare questo tipo di crittografia, puoi utilizzare strumenti come il monitoraggio dell'accesso ai tuoi dati. AWS CloudTrail Questo post del blog mostra come controllare i metodi di crittografia per il caricamento di oggetti in tempo reale. Puoi anche fare riferimento a questo articolo di re:Post per aiutarti a consultare i report di S3 Inventory per verificare se hai oggetti crittografati SSE-C.

Fasi

Puoi bloccare o sbloccare la crittografia lato server con chiavi fornite dal cliente (SSE-C) per un bucket generico utilizzando la console Amazon S3, la ( AWS Command Line Interface )AWS CLI, l'API REST di Amazon S3 e. AWS SDKs

Per bloccare o sbloccare la crittografia SSE-C per un bucket utilizzando la console Amazon S3:

  1. Accedi alla console di AWS gestione e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra, scegli bucket per uso generico.

  3. Seleziona il bucket per cui desideri bloccare la crittografia SSE-C.

  4. Seleziona la scheda Proprietà per il bucket.

  5. Passa al pannello delle proprietà di crittografia predefinita per il bucket e seleziona Modifica.

  6. Nella sezione Tipi di crittografia bloccati, seleziona la casella accanto a Crittografia lato server con chiavi fornite dal cliente (SSE-C) per bloccare la crittografia SSE-C o deseleziona questa casella per consentire SSE-C.

  7. Seleziona Salva modifiche.

Per installare la AWS CLI, consulta Installazione della AWS CLI nella Guida per l'utente.AWS Command Line Interface

Il seguente esempio CLI mostra come bloccare o sbloccare la crittografia SSE-C per un bucket generico utilizzando il. AWS CLI Per utilizzare il comando, sostituiscilo con le tue informazioniuser input placeholders.

Richiesta di blocco della crittografia SSE-C per un bucket generico:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "SSE-C"
      }
    }]
  }'

Richiesta di abilitazione dell'uso della crittografia SSE-C su un bucket generico:

aws s3api put-bucket-encryption \
  --bucket amzn-s3-demo-bucket \
  --server-side-encryption-configuration '{
    "Rules": [{
      "BlockEncryptionTypes": {
        "EncryptionType": "NONE"
      }
    }]
  }'
SDK for Java 2.x

Gli esempi seguenti mostrano come bloccare o sbloccare le scritture di crittografia SSE-C nei bucket generici utilizzando il AWS SDKs

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e bloccare SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.SSE_C)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));

Esempio: PutBucketEncryption richiesta di impostazione della configurazione di crittografia predefinita su SSE-S3 e sblocco di SSE-C

S3Client s3Client = ...;
ServerSideEncryptionByDefault defaultSse = ServerSideEncryptionByDefault
        .builder()
        .sseAlgorithm(ServerSideEncryption.AES256)
        .build();
BlockedEncryptionTypes blockedEncryptionTypes = BlockedEncryptionTypes
        .builder()
        .encryptionType(EncryptionType.NONE)
        .build();
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
        .applyServerSideEncryptionByDefault(defaultSse)
        .blockedEncryptionTypes(blockedEncryptionTypes)
        .build();
s3Client.putBucketEncryption(be -> be
        .bucket(bucketName)
        .serverSideEncryptionConfiguration(c -> c.rules(rule)));
SDK for Python Boto3

Esempio: PutBucketEncryption richiesta di impostare la configurazione di crittografia predefinita su SSE-S3 e bloccare SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["SSE-C"]
            }
        }]
    }
)

Esempio: PutBucketEncryption richiesta di impostazione della configurazione di crittografia predefinita su SSE-S3 e sblocco di SSE-C

s3 = boto3.client("s3")
s3.put_bucket_encryption(
    Bucket="amzn-s3-demo-bucket",
    ServerSideEncryptionConfiguration={
        "Rules":[{
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            },
            "BlockedEncryptionTypes": {
                "EncryptionType": ["NONE"]
            }
        }]
    }
)

Per informazioni sul supporto dell'API REST di Amazon S3 per il blocco o lo sblocco della crittografia SSE-C per un bucket generico, consulta la sezione seguente nel riferimento all'API di Amazon Simple Storage Service: