Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan enkripsi sisi server dual-layer dengan kunci (-) AWS KMS DSSE KMS
Menggunakan enkripsi sisi server dual-layer dengan AWS Key Management Service (AWS KMS) keys (DSSE-KMS) menerapkan dua lapisan enkripsi ke objek saat diunggah ke Amazon S3. DSSE- KMS membantu Anda lebih mudah memenuhi standar kepatuhan yang mengharuskan Anda menerapkan enkripsi multilayer ke data Anda dan memiliki kontrol penuh atas kunci enkripsi Anda.
Saat Anda menggunakan DSSE - KMS dengan ember Amazon S3, AWS KMS kunci harus berada di Wilayah yang sama dengan ember. Juga, ketika DSSE - KMS diminta untuk objek, checksum S3 yang merupakan bagian dari metadata objek disimpan dalam bentuk terenkripsi. Untuk informasi selengkapnya tentang checksum, lihat Memeriksa integritas objek.
Ada biaya tambahan untuk menggunakan DSSE - KMS dan AWS KMS keys. Untuk informasi selengkapnya tentang DSSE - KMS harga, lihat AWS KMS key konsep di Panduan AWS Key Management Service Pengembang dan AWS KMS harga
catatan
Kunci Bucket S3 tidak didukung untuk DSSE -KMS.
Memerlukan enkripsi sisi server dua lapis dengan (-) AWS KMS keys DSSE KMS
Untuk mewajibkan enkripsi di sisi server terhadap semua objek dalam bucket Amazon S3 tertentu, Anda dapat menggunakan kebijakan bucket. Misalnya, kebijakan bucket berikut menolak izin upload object (s3:PutObject) untuk semua orang jika permintaan tidak menyertakan x-amz-server-side-encryption header yang meminta enkripsi sisi server dengan -. DSSE KMS
{ "Version":"2012-10-17", "Id":"PutObjectPolicy", "Statement":[{ "Sid":"DenyUnEncryptedObjectUploads", "Effect":"Deny", "Principal":"*", "Action":"s3:PutObject", "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition":{ "StringNotEquals":{ "s3:x-amz-server-side-encryption":"aws:kms:dsse" } } } ] }
