Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 () SSE-S3
<a name="UsingServerSideEncryption"></a>

**penting**  
Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di dan SDK. AWS CLI AWS Untuk informasi selengkapnya, lihat [FAQ enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Semua unggahan objek baru ke bucket Amazon S3 dienkripsi secara default dengan enkripsi sisi server dengan kunci terkelola Amazon S3 (). SSE-S3

Server-side enkripsi melindungi data saat istirahat. Amazon S3 mengenkripsi setiap objek dengan kunci unik. Sebagai perlindungan tambahan, ia mengenkripsi kunci itu sendiri dengan kunci yang diputar secara berkala. Enkripsi sisi server Amazon S3 menggunakan 256-bit Advanced Encryption Standard Galois/Counter Mode () AES-GCM untuk mengenkripsi semua objek yang diunggah.

Tidak ada biaya tambahan untuk menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (). SSE-S3 Namun, permintaan untuk mengonfigurasi fitur enkripsi default dikenakan biaya permintaan Amazon S3 standar. Untuk informasi tentang harga, lihat [Harga Amazon S3](https://aws.amazon.com/s3/pricing/).

Jika Anda mengharuskan unggahan data dienkripsi hanya menggunakan kunci terkelola Amazon S3, Anda dapat menggunakan kebijakan bucket berikut. Misalnya, kebijakan bucket berikut menolak izin untuk mengunggah objek kecuali jika permintaan mencakup header `x-amz-server-side-encryption` untuk meminta enkripsi di sisi server:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "PutObjectPolicy",
  "Statement": [
    {
      "Sid": "DenyObjectsThatAreNotSSES3",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    }
   ]
}
```

------

**catatan**  
Server-side enkripsi mengenkripsi hanya data objek, bukan metadata objek. 

**catatan**  
Kunci `s3:x-amz-server-side-encryption` kondisi yang digunakan dalam kebijakan bucket adalah namespace kunci kondisi IAM dan berbeda dari header `x-amz-server-side-encryption` HTTP yang ditampilkan di log. CloudTrail Keduanya mengacu pada pengaturan enkripsi yang sama, tetapi menggunakan format yang berbeda. Selain itu, kebijakan Deny ini mungkin memblokir penulisan (seperti log akses Elastic Load Balancing atau CloudFront log Amazon) yang mengirimkan objek ke bucket Anda tanpa menentukan header enkripsi.

## Dukungan API untuk enkripsi di sisi server
<a name="APISupportforServer-SideEncryption"></a>

Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat istirahat. Server-side enkripsi dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Untuk menggunakan jenis enkripsi yang berbeda, Anda dapat menentukan jenis enkripsi sisi server yang akan digunakan dalam `PUT` permintaan S3, atau memperbarui konfigurasi enkripsi default di bucket tujuan. 

Jika Anda ingin menentukan jenis enkripsi yang berbeda dalam `PUT` permintaan Anda, Anda dapat menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) keys (), enkripsi sisi server dual-layer dengan keys (SSE-KMS), atau enkripsi sisi server dengan AWS KMS kunci yang disediakan DSSE-KMS pelanggan (). SSE-C Jika Anda ingin mengatur konfigurasi enkripsi default yang berbeda di bucket tujuan, Anda dapat menggunakan SSE-KMS atau DSSE-KMS.

Untuk informasi selengkapnya tentang mengubah konfigurasi enkripsi default untuk bucket tujuan umum Anda, lihat[Mengonfigurasi enkripsi default](default-bucket-encryption.md). 

Saat Anda mengubah konfigurasi enkripsi default bucket menjadi SSE-KMS, jenis enkripsi objek Amazon S3 yang ada di bucket tidak akan diubah. Untuk mengubah jenis enkripsi objek yang sudah ada sebelumnya setelah memperbarui konfigurasi enkripsi default ke SSE-KMS, Anda dapat menggunakan Operasi Batch Amazon S3. Anda menyediakan Operasi Batch S3 dengan daftar objek, dan Operasi Batch memanggil operasi API masing-masing. Anda dapat menggunakan [Menyalin objek](batch-ops-copy-object.md) tindakan untuk menyalin objek yang ada, yang menuliskannya kembali ke ember yang sama dengan objek SSE-KMS terenkripsi. Satu tugas Operasi Batch dapat melakukan operasi tertentu pada miliaran objek yang berisi data sebesar eksabita. Untuk informasi selengkapnya, lihat [Melakukan operasi objek secara massal dengan Operasi Batch](batch-ops.md) dan posting *Blog AWS Penyimpanan* [Cara mengenkripsi objek yang ada secara surut di Amazon S3 menggunakan S3 Inventory, Amazon Athena, dan Operasi Batch S3](https://aws.amazon.com/blogs/security/how-to-retroactively-encrypt-existing-objects-in-amazon-s3-using-s3-inventory-amazon-athena-and-s3-batch-operations/). 

Untuk mengonfigurasi enkripsi di sisi server dengan menggunakan API REST pembuatan objek, Anda harus menyediakan header permintaan `x-amz-server-side-encryption`. Untuk informasi tentang API REST, lihat [Penggunaan API REST](specifying-s3-encryption.md#SSEUsingRESTAPI).

API Amazon S3 berikut mendukung header ini:
+ **Operasi PUT**–Tentukan header permintaan saat mengunggah data menggunakan API `PUT`. Untuk informasi lebih lanjut, lihat [PUT Objek](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html).
+ **Mulai Unggahan Multibagian**–Menentukan header dalam permintaan awal saat mengunggah objek besar menggunakan operasi API multibagian. Untuk informasi lebih lanjut, lihat [Mulai Unggahan Multibagian](https://docs.aws.amazon.com/AmazonS3/latest/API/mpUploadInitiate.html).
+ **Operasi COPY**–Saat Anda menyalin objek, Anda memiliki objek sumber dan objek target. Untuk informasi lebih lanjut, lihat [PUT Objek-Salin](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectCOPY.html).

**catatan**  
Saat menggunakan operasi `POST` untuk mengunggah objek, alih-alih memberikan header permintaan, Anda memberikan informasi yang sama di kolom formulir. Untuk informasi lebih lanjut, lihat [Objek POST](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html). 

 AWS SDK juga menyediakan API pembungkus yang dapat Anda gunakan untuk meminta enkripsi sisi server. Anda juga dapat menggunakan Konsol Manajemen AWS untuk mengunggah objek dan meminta enkripsi sisi server.

Untuk informasi lebih umum, lihat [AWS KMS konsep](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) dalam *AWS Key Management Service Panduan Pengembang*.

**Topics**
+ [Dukungan API untuk enkripsi di sisi server](#APISupportforServer-SideEncryption)
+ [Menentukan enkripsi sisi server dengan kunci terkelola Amazon S3 () SSE-S3](specifying-s3-encryption.md)