Cosa succede agli oggetti nuovi o esistenti quando attivo la crittografia predefinita con AWS KMS sul mio bucket Amazon S3?

Risoluzione

Dopo aver attivato la crittografia AWS KMS predefinita sul tuo bucket, Amazon S3 applica la crittografia solo agli oggetti appena caricati senza impostazioni di crittografia.

La crittografia bucket predefinita non modifica le impostazioni di crittografia degli oggetti esistenti. Ad esempio, se attivi la crittografia lato server con AWS KMS (SSE-KMS) nel bucket, tutti gli oggetti non crittografati già presenti nel bucket rimangono non crittografati. Inoltre, tutti gli oggetti già crittografati tramite SSE-KMS, SSE-S3 o SSE-C rimangono crittografati nella rispettiva chiave.

La crittografia bucket predefinita inoltre non sostituisce le impostazioni di crittografia specificate durante il caricamento di un nuovo oggetto. Ad esempio, se si specifica la crittografia AES256 nella richiesta PutObject a un bucket con crittografia SSE-KMS predefinita, l'oggetto mantiene la crittografia AES256 (SSE-S3).

Se il tuo bucket ha una crittografia predefinita ma vedi oggetti appena caricati con impostazioni di crittografia diverse, controlla i registri degli eventi dei dati di AWS CloudTrail. I log per le richieste API PUT, POST e InitiateMultipartUpload hanno un campo SSEApplied. Se il valore di questo campo è Default\ _SSE\ _S3 o Default\ _SSE\ _KMS, l'oggetto ha la crittografia predefinita. Se il valore è SSE\ _S3 o SSE\ _KMS, l'oggetto specifica le impostazioni di crittografia nella richiesta PutObject.

Nota: Per richiedere agli utenti di caricare oggetti con SSE-KMS, utilizza una policy dei bucket, una policy dei punti di accesso o una politica di controllo dei servizi di AWS Organizations.