Amazon S3 バケットで AWS KMS によるデフォルトの暗号化を有効にすると、新規または既存のオブジェクトはどうなりますか?

解決策

バケットでデフォルトの AWS KMS 暗号化を有効にすると、Amazon S3 は暗号化設定なしで新しくアップロードされたオブジェクトにのみ暗号化を適用します。

デフォルトのバケット暗号化では、既存のオブジェクトの暗号化設定は変更されません。たとえば、バケットで AWS KMS (SSE-KMS) によるサーバー側の暗号化を有効にした場合、すでにバケットにある暗号化されていないオブジェクトは暗号化されないままになります。また、SSE-KMS、SSE-S3、または SSE-C ですでに暗号化されているオブジェクトは、それぞれのキーで暗号化されたままになります。

また、デフォルトのバケット暗号化は、新しいオブジェクトをアップロードするときに指定した暗号化設定を上書きしません。たとえば、デフォルトの SSE-KMS 暗号化を使用するバケットに対する PutObject リクエストで AES256 暗号化を指定した場合、オブジェクトは AES256 暗号化 (SSE-S3) を維持します。

バケットにデフォルトの暗号化が設定されているのに、新たにアップロードされたオブジェクトが異なる暗号化設定になっている場合は、AWS CloudTrail データイベントログを確認してください。PUT、** POST 、 InitiateMultipartUpload ** API リクエストのログには SSE 適用フィールドがあります。このフィールドの値がデフォルト\ _SSE\ _S3 ** または デフォルト\ _SSE\ _KMS の場合、オブジェクトにはデフォルトの暗号化が適用されます。値が ** SSE\ _S3 ** または ** SSE\ _KMS の場合、オブジェクトは PutObject リクエストの暗号化設定を指定してください。

**注意事項:**SSE-KMS でオブジェクトをアップロードするようユーザーに要求するには、バケットポリシー、アクセスポイントポリシー、または AWS Organizations サービスコントロールポリシーを使用してください。