S3バケットの暗号化設定をSSE-KMSからSSE-S3に変更する方法

S3バケットの暗号化設定をSSE-KMSからSSE-S3に変更する方法

Sバケットの暗号化設定をSSE-KMSからSSE-S3に変更する方法と考慮事項について
#Amazon S3
#AWS
#AWS KMS
#AWS CLI
katsumata

katsumata

facebook logohatena logotwitter logo
Clock Icon2025.06.11

はじめに

かつまたです。
SSE-KMSを利用してバケット暗号化を設定しているが、コスト面やそれほど高度なセキュリティが必要ないなどの状況から、SSE-S3への暗号化変更を検討したことはありませんか?

今回はSSE-KMSの暗号化が行われているS3バケットの暗号化設定をSSE-S3に変更し、既存オブジェクトの暗号化もSSE-S3に変更する際の手順と考慮点について記載しました。

やってみた

前提条件として、SSE-KMSでのデフォルト暗号化設定がされた既存オブジェクトが存在するS3バケットに対して操作を実施していきます。

  1. 対象S3バケットの「プロパティ」からデフォルトの暗号化を編集します。
    スクリーンショット 2025-06-03 14.02.34.png

  2. SSE-KMSからSSE-S3にデフォルト暗号化を変更します。
    スクリーンショット 2025-06-03 14.02.41.png

  3. デフォルト暗号化を変更しても、既存のオブジェクトに関しては、以前の暗号化方式のまま保存されています。
    デフォルト暗号化は設定以降にアップロードされたオブジェクトに対して適用されます。

SSE-KMSからSSE-S3に変更後、既存オブジェクトをSSE-S3で再暗号化することで、バケット内すべてのオブジェクトをSSE-S3での暗号化に変更することができます。

以下のコマンドにより、バケット内の全てのオブジェクトを再暗号化します。

コマンド例
aws s3 cp s3://バケット名/ s3://バケット名/ --recursive --sse AES256

また、以下のコマンドにより、任意のオブジェクトに対して、暗号化設定が変更されているか、確認可能です。

コマンド例
aws s3api head-object --bucket バケット名 --key "オブジェクト名"

参考情報として、大量オブジェクトの一括コピー方法として、S3 Batch Operationを利用した方法も存在します。
https://dev.classmethod.jp/articles/execute-copy-restore-objects-s3-console/

考慮事項

  1. 再暗号化を実施するコマンドによるCOPYアクションではリクエスト料金が課金されます。(標準ストレージタイプの場合、1000リクエスト毎に0.005 USD)

  2. 再暗号化を実施するコマンドではバケット内の全てのオブジェクトに対してCOPYアクションを実施しています。
    そのため、オブジェクト数が膨大な場合、スロットリングが発生する可能性が考えられます。(1秒あたり3500件のCOPYリクエストのクォータ)
    もしスロットリングが発生した場合は、AWS CLIの最大再試行回数を増やして、再度お試しください。

https://dev.classmethod.jp/articles/tsnote-aws-cli-too-many-requests-exception/

おわりに

ご覧いただきありがとうございました。
バケットのデフォルト暗号化を変更する際の考慮事項やエラー時の対応について確認したい時にご活用いただけると幸いです。

参考資料

https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/head-object.html

https://aws.amazon.com/jp/s3/pricing/

https://repost.aws/ja/knowledge-center/http-5xx-errors-s3

https://dev.classmethod.jp/articles/tsnote-aws-cli-too-many-requests-exception/

https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-retries.html#cli-usage-retries-modes-standard.title

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。

Share this article

facebook logohatena logotwitter logo

関連記事

Security Hub コントロールに準拠した S3 バケットの作成と CloudFormation テンプレートの S3 バケットへのアップロードを AWS CDK であらかじめ実装する

Security Hub コントロールに準拠した S3 バケットの作成と CloudFormation テンプレートの S3 バケットへのアップロードを AWS CDK であらかじめ実装する

User avatar
若槻龍太
2025.06.12
Quicksightのデータソースにフィールドを追加してデータセットを更新した時の挙動を確認してみた

Quicksightのデータソースにフィールドを追加してデータセットを更新した時の挙動を確認してみた

User avatar
よなみね
2025.06.10
AWS Lambda를 활용하여 S3 퍼블릭 접근을 자동으로 차단하는 구성을 만들어봤습니다.

AWS Lambda를 활용하여 S3 퍼블릭 접근을 자동으로 차단하는 구성을 만들어봤습니다.

User avatar
Kim Jaewook
2025.06.10
Trusted Advisor の S3 バケット許可チェックで「Not evaluated (permissions)」が表示される場合の対処法

Trusted Advisor の S3 バケット許可チェックで「Not evaluated (permissions)」が表示される場合の対処法

User avatar
大澤
2025.06.04
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.