Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan enkripsi sisi server dengan kunci yang disediakan pelanggan () SSE-C
Server-side enkripsi adalah tentang melindungi data saat istirahat. Server-side enkripsi mengenkripsi hanya data objek, bukan metadata objek. Anda dapat menggunakan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) di bucket tujuan umum Anda untuk mengenkripsi data Anda dengan kunci enkripsi Anda sendiri. Dengan kunci enkripsi yang Anda sediakan sebagai bagian dari permintaan Anda, Amazon S3 mengelola enkripsi data saat menulis ke disk dan dekripsi data saat Anda mengakses objek Anda. Oleh karena itu, Anda tidak perlu menyimpan kode apa pun untuk melakukan enkripsi dan dekripsi data. Satu-satunya hal yang perlu Anda lakukan adalah mengelola kunci enkripsi yang Anda berikan.
Mulai April 2026, SSE-C dinonaktifkan secara default untuk semua bucket tujuan umum baru dan bucket yang ada di akun tanpa SSE-C objek terenkripsi. Sebagian besar beban kerja modern menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau kunci AWS KMS (SSE-KMS) sebagai gantinya, karena SSE-C mengharuskan Anda untuk menyediakan kunci enkripsi dengan setiap permintaan, sehingga tidak praktis untuk berbagi akses dengan pengguna, peran, atau layanan lain yang beroperasi pada data Anda. AWS Untuk mempelajari lebih lanjut tentang SSE-KMS, lihat[Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS)](UsingKMSEncryption.md).
Jika beban kerja membutuhkan SSE-C, Anda harus mengaktifkannya secara eksplisit dengan menyetel `BlockedEncryptionTypes` ke `NONE` konfigurasi enkripsi default bucket menggunakan API. `PutBucketEncryption` Sementara SSE-C diblokir, setiap`PutObject`,, `CopyObject``PostObject`, Multipart Upload, atau permintaan replikasi yang menentukan SSE-C enkripsi ditolak dengan kesalahan HTTP 403. `AccessDenied` Untuk mempelajari selengkapnya, lihat [Memblokir atau membuka blokir SSE-C untuk ember tujuan umum](blocking-unblocking-s3-c-encryption-gpb.md).
Tidak ada biaya tambahan untuk penggunaan SSE-C. Namun, permintaan untuk mengonfigurasi dan menggunakan SSE-C dikenakan biaya permintaan Amazon S3 standar. Untuk informasi tentang harga, lihat [Harga Amazon S3](https://aws.amazon.com/s3/pricing/).
**penting**
Amazon Simple Storage Service sekarang menerapkan pengaturan keamanan bucket default baru yang secara otomatis menonaktifkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) untuk semua bucket tujuan umum yang baru. Pada April 2026, Amazon S3 menerapkan pembaruan sehingga semua bucket tujuan umum baru menonaktifkan enkripsi untuk semua SSE-C permintaan tulis baru. Untuk bucket yang ada tanpa objek SSE-C terenkripsi, Amazon S3 juga dinonaktifkan SSE-C untuk semua permintaan tulis baru. Akun AWS Dengan perubahan ini, aplikasi yang membutuhkan SSE-C enkripsi harus sengaja diaktifkan SSE-C dengan menggunakan operasi [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)API setelah membuat bucket baru. Untuk informasi lebih lanjut tentang perubahan ini, lihat[SSE-C Pengaturan default untuk bucket baru FAQ](default-s3-c-encryption-setting-faq.md).
## Pertimbangan sebelum menggunakan SSE-C
+ S3 tidak pernah menyimpan kunci enkripsi saat Anda menggunakannya SSE-C. Anda harus menyediakan kunci enkripsi setiap kali Anda ingin siapa pun mengunduh data SSE-C terenkripsi Anda dari S3.
+ Anda mengelola pemetaan kunci enkripsi mana yang digunakan untuk mengenkripsi objek yang ingin dituju. Anda bertanggung jawab untuk melacak kunci enkripsi yang Anda berikan untuk objek yang ingin dituju. Itu juga berarti jika Anda kehilangan kunci enkripsi, Anda kehilangan objek.
+ Karena Anda mengelola kunci enkripsi di sisi klien, Anda mengelola perlindungan tambahan, seperti rotasi utama, di sisi klien.
+ Desain ini dapat mempersulit berbagi SSE-C kunci Anda dengan pengguna, peran, atau AWS layanan lain yang perlu beroperasi pada data Anda. Karena dukungan luas untuk SSE-KMS seluruh AWS, sebagian besar beban kerja modern tidak digunakan SSE-C karena tidak memiliki fleksibilitas. SSE-KMS Untuk mempelajari selengkapnyaSSE-KMS, lihat [Menggunakan enkripsi sisi server dengan kunci AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) (). SSE-KMS
+ Ini berarti bahwa objek yang dienkripsi dengan SSE-C tidak dapat didekripsi secara asli oleh layanan terkelola. AWS
+ Anda harus menggunakan HTTPS saat menentukan SSE-C header pada permintaan Anda.
+ Amazon S3 menolak permintaan apa pun yang dibuat melalui HTTP saat menggunakan. SSE-C Untuk pertimbangan keamanan, kami menyarankan Anda mempertimbangkan kunci apa pun yang Anda kirim secara keliru melalui HTTP untuk dikompromikan. Buang kuncinya dan putar seperlunya.
+ Jika bucket Anda mengaktifkan versi, setiap versi objek yang Anda unggah dapat memiliki kunci enkripsi sendiri. Anda bertanggung jawab untuk melacak kunci enkripsi yang Anda berikan untuk objek yang ingin dituju.
+ SSE-C tidak didukung di Konsol Amazon S3. Anda tidak dapat menggunakan konsol Amazon S3 untuk mengunggah objek dan menentukan SSE-C enkripsi. Anda juga tidak dapat menggunakan konsol untuk memperbarui (misalnya, mengubah kelas penyimpanan atau menambahkan metadata) objek yang ada yang disimpan menggunakan. SSE-C
+ SSE-C diblokir secara default untuk ember baru. Anda harus mengaktifkan secara eksplisit SSE-C menggunakan `PutBucketEncryption` API sebelum Anda dapat mengunggah objek dengan SSE-C enkripsi. Untuk informasi selengkapnya, lihat [Memblokir atau membuka blokir SSE-C untuk ember tujuan umum](blocking-unblocking-s3-c-encryption-gpb.md).
**Topics**
+ [Pertimbangan sebelum menggunakan SSE-C](#considerations-before-using-sse-c)
+ [Menentukan enkripsi sisi server dengan kunci yang disediakan pelanggan () SSE-C](specifying-s3-c-encryption.md)
+ [Memblokir atau membuka blokir SSE-C untuk ember tujuan umum](blocking-unblocking-s3-c-encryption-gpb.md)
+ [SSE-C Pengaturan default untuk bucket baru FAQ](default-s3-c-encryption-setting-faq.md)