Amazon S3 バケットで AWS KMS を使用してデフォルトの暗号化を有効にすると、新しいオブジェクトまたは既存のオブジェクトはどうなりますか?

最終更新日: 2020 年 12 月 18 日

Amazon Simple Storage Service (Amazon S3) バケットで AWS Key Management Service (AWS KMS) を使用してデフォルトの暗号化を有効にしたいと考えています。既にオブジェクトをバケットに格納しているのですが、デフォルトの暗号化を有効にした場合、既存のオブジェクトの暗号化はどうなりますか? 異なる暗号化設定で新しいオブジェクトをアップロードするとどうなりますか?

解決方法

バケットでデフォルトの AWS KMS 暗号化を有効にすると、Amazon S3 は、暗号化設定を指定せずにアップロードした新しいオブジェクトにのみデフォルトの暗号化を適用します。

デフォルトのバケット暗号化では、既存のオブジェクトの暗号化設定は変更されません。例えば、バケットで AWS KMS を使用したサーバー側の暗号化 (SSE-KMS) を有効にした場合、既にバケット内にある暗号化されていないオブジェクトは暗号化されないままになります。さらに、SSE-KMS、SSE-S3、または SSE-C を使用して既に暗号化されているオブジェクトは、それぞれのキーで暗号化されたままになります。

また、デフォルトのバケット暗号化は、新しいオブジェクトのアップロードで指定された暗号化設定を上書きしません。例えば、デフォルトの SSE-KMS 暗号化を使用するバケットへの PutObject リクエストで AES256 暗号化を指定すると、オブジェクトは AES256 暗号化 (SSE-S3) を維持します。

バケットにデフォルトの暗号化が設定されているが、新たにアップロードされたオブジェクトが異なる暗号化設定で表示される場合は、AWS CloudTrail データイベントログを確認します。PUT、POST、および InitiateMultipartUpload API リクエストのログには、SSEApplied フィールドがあります。このフィールドの値が Default_SSE_S3 または Default_SSE_KMS の場合、オブジェクトはデフォルトの暗号化を持ちます。値が SSE_S3 または SSE_KMS の場合、オブジェクトは、PutObject リクエストで指定される暗号化設定を持ちます。

注: SSE-KMS によるオブジェクトのアップロードを要求するには、バケットポリシーアクセスポイントポリシー、または AWS Organizations のサービスコントロールポリシーを使用できます 。</p


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?