Amazon Simple Storage Service (Amazon S3) バケットでデフォルト暗号化をアクティブ化しました。バケットに保存されているオブジェクトが暗号化されることを確実にするために、バケットポリシーを変更する必要はありますか?
いいえ。バケットに保存されているオブジェクトが暗号化されることを確実にするためにバケットポリシーを更新する必要はありません。デフォルト暗号化がアクティブ化されており、ユーザーが暗号化情報なしでオブジェクトをアップロードする場合、Amazon S3 は指定されたデフォルト暗号化方法を使用します。ユーザーが PUT リクエストで暗号化情報を指定する場合、Amazon S3 はリクエストで指定された暗号化を使用します。
この動作は、以下のキーを使用した暗号化に適用されます。
デフォルト暗号化をアクティブ化した後での暗号化動作に関する詳細については、「Amazon S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定」を参照してください。
重要: カスタム AWS KMS キーを使用してデフォルト暗号化をアクティブ化した後は、オブジェクトにアクセスできるようにするための追加の許可をユーザーに付与する必要があります。これらのユーザーには、キーポリシーまたはユーザーの AWS Identity and Access Management (IAM) ポリシーでキーを使用する許可を付与します。これらの許可を付与する方法の手順については、「私の Amazon S3 バケットにはカスタムの AWS KMS キーを使用したデフォルト暗号化が設定されています。ユーザーがそのバケットでダウンロードやアップロードを行えるようにするにはどうすればいいですか?」を参照してください。 クロスアカウント操作については、「クロスアカウント操作での SSE-KMS 暗号化の使用」を参照してください。
AWS KMS のキーポリシー
AWS KMS の概念