Amazon S3 버킷에서 AWS KMS를 사용하여 기본 암호화를 활성화하면 새 개체나 기존 개체는 어떻게 되나요?

해결 방법

버킷에서 기본 AWS KMS 암호화를 활성화하면 Amazon S3는 암호화 설정 없이 새로 업로드된 개체에만 암호화를 적용합니다.

기본 버킷 암호화는 기존 개체의 암호화 설정에 영향을 주지 않습니다. 예를 들어 버킷에서 AWS KMS(SSE-KMS)로 서버 측 암호화를 활성화해도 이미 있는 암호화되지 않은 버킷의 개체는 암호화되지 않은 상태로 유지됩니다. 또한 SSE-KMS, SSE-S3 또는 SSE-C로 이미 암호화된 모든 개체도 해당 키에서 암호화된 상태로 유지됩니다.

또한 기본 버킷 암호화는 새 개체를 업로드할 때 지정한 암호화 설정을 재정의하지 않습니다. 예를 들어, 기본 SSE-KMS 암호화를 사용하는 버킷에 대한 PutObject 요청에서 AES256 암호화를 지정하면 개체는 AES256 암호화(SSE-S3)를 유지합니다.

버킷에 기본 암호화가 설정되어 있지만 새로 업로드된 개체가 다른 암호화 설정으로 표시되는 경우, AWS CloudTrail 데이터 이벤트 로그를 확인하십시오. PUT, POST 및 InitiateMultipartUpload API 요청에 대한 로그에 SSEApplied 필드가 있습니다. 이 필드의 값이 Default_SSE_S3 또는 Default_SSE_KMS인 경우 개체는 기본 암호화를 사용합니다. 값이 SSE_S3 또는 SSE_KMS인 경우 개체는 PutObject 요청에 암호화 설정을 지정합니다.

참고: 사용자가 SSE-KMS를 사용하여 개체를 업로드하도록 하려면 버킷 정책, 액세스 포인트 정책 또는 AWS Organizations 서비스 제어 정책을 사용합니다.