AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

Amazon S3 バケットでデフォルト暗号化をアクティブ化するときは、そのバケット内のオブジェクトが暗号化されるようにバケットポリシーを更新する必要がありますか?

所要時間1分
0

Amazon Simple Storage Service (Amazon S3) バケットでデフォルト暗号化をアクティブ化しました。バケットに保存されているオブジェクトが暗号化されることを確実にするために、バケットポリシーを変更する必要はありますか?

解決方法

いいえ。バケットに保存されているオブジェクトが暗号化されることを確実にするためにバケットポリシーを更新する必要はありません。デフォルト暗号化がアクティブ化されており、ユーザーが暗号化情報なしでオブジェクトをアップロードする場合、Amazon S3 は指定されたデフォルト暗号化方法を使用します。ユーザーが PUT リクエストで暗号化情報を指定する場合、Amazon S3 はリクエストで指定された暗号化を使用します。

この動作は、以下のキーを使用した暗号化に適用されます。

  • Amazon S3 が管理するキー。
  • SSE-S3 キーとしてラベル付けされているキー。
  • AWS Key Management Service (AWS KMS) が管理するキー。
  • SSE-KMS キーとしてラベル付けされているキー。

デフォルト暗号化をアクティブ化した後での暗号化動作に関する詳細については、「Amazon S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定」を参照してください。

重要: カスタム AWS KMS キーを使用してデフォルト暗号化をアクティブ化した後は、オブジェクトにアクセスできるようにするための追加の許可をユーザーに付与する必要があります。これらのユーザーには、キーポリシーまたはユーザーの AWS Identity and Access Management (IAM) ポリシーでキーを使用する許可を付与します。これらの許可を付与する方法の手順については、「私の Amazon S3 バケットにはカスタムの AWS KMS キーを使用したデフォルト暗号化が設定されています。ユーザーがそのバケットでダウンロードやアップロードを行えるようにするにはどうすればいいですか?」を参照してください。 クロスアカウント操作については、「クロスアカウント操作での SSE-KMS 暗号化の使用」を参照してください。


関連情報

AWS KMS のキーポリシー

AWS KMS の概念

AWS公式
AWS公式更新しました 2年前