Melindungi data dengan enkripsi di sisi klien - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melindungi data dengan enkripsi di sisi klien

penting

Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons Amazon S3 tambahan di dan. API AWS Command Line Interface AWS SDKs Untuk informasi selengkapnya, lihat Enkripsi default FAQ.

Enkripsi di sisi server adalah enkripsi data di tempat tujuan oleh aplikasi atau layanan yang menerimanya. Amazon S3 mengenkripsi data Anda pada tingkat objek saat menulisnya ke disk di pusat AWS data dan mendekripsi untuk Anda saat Anda mengaksesnya. Selama Anda mengautentikasi permintaan dan telah memiliki izin akses, tidak ada perbedaan dalam cara mengakses objek terenkripsi atau tidak terenkripsi. Misalnya, jika Anda berbagi objek dengan menggunakan presignedURL, itu URL bekerja dengan cara yang sama untuk objek terenkripsi dan tidak terenkripsi. Selain itu, saat Anda mencantumkan objek di bucket, API operasi daftar menampilkan daftar semua objek, terlepas dari apakah objek tersebut dienkripsi.

Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat sedang tidak aktif. Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Untuk menggunakan jenis enkripsi yang berbeda, Anda dapat menentukan jenis enkripsi di sisi server yang akan digunakan dalam permintaan PUT S3, atau Anda dapat mengatur konfigurasi enkripsi default di bucket tujuan.

Jika Anda ingin menentukan jenis enkripsi yang berbeda dalam PUT permintaan Anda, Anda dapat menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) kunci (-), enkripsi sisi server dua lapis dengan kunci (SSE-KMS), atau enkripsi sisi server dengan AWS KMS kunci yang disediakan DSSE pelanggan (-CKMS). SSE Jika Anda ingin mengatur konfigurasi enkripsi default yang berbeda di bucket tujuan, Anda dapat menggunakan SSE - KMS atau DSSE -KMS.

catatan

Anda tidak dapat menerapkan berbagai jenis enkripsi di sisi server ke objek yang sama secara bersamaan.

Jika Anda perlu mengenkripsi objek yang ada, gunakan Operasi Batch S3 dan Inventaris S3. Untuk informasi selengkapnya, lihat Mengenkripsi objek dengan Operasi Batch Amazon S3 dan Melakukan operasi objek secara massal dengan Operasi Batch.

Anda memiliki empat opsi yang saling eksklusif untuk enkripsi di sisi server, tergantung pada cara Anda mengelola kunci enkripsi dan jumlah lapisan enkripsi yang ingin Anda terapkan.

Enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3) SSE

Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default. Opsi default untuk enkripsi sisi server adalah dengan kunci terkelola Amazon S3 (-S3). SSE Setiap objek dienkripsi dengan kunci unik. Sebagai perlindungan tambahan, SSE -S3 mengenkripsi kunci itu sendiri dengan kunci root yang diputar secara teratur. SSE-S3 menggunakan salah satu cipher blok terkuat yang tersedia, 256-bit Advanced Encryption Standard (AES-256), untuk mengenkripsi data Anda. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3) SSE.

Enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (-) SSE KMS

Enkripsi sisi server dengan AWS KMS keys (SSE-KMS) disediakan melalui integrasi AWS KMS layanan dengan Amazon S3. Dengan AWS KMS, Anda memiliki kontrol lebih besar atas kunci Anda. Misalnya, Anda dapat melihat kunci terpisah, mengedit kebijakan kontrol, dan mengikuti kunci di AWS CloudTrail. Selain itu, Anda dapat membuat dan mengelola CMK atau menggunakan Kunci yang dikelola AWS yang unik bagi Anda, layanan Anda, dan Wilayah Anda. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan AWS KMS kunci (-) SSE KMS.

Enkripsi sisi server dua lapis dengan kunci AWS Key Management Service () (AWS KMS-) DSSE KMS

Enkripsi sisi server dual-layer dengan AWS KMS keys (DSSE-KMS) mirip dengan -KMS, tetapi SSE DSSE - KMS menerapkan dua lapisan individual enkripsi tingkat objek alih-alih satu lapisan. Karena kedua lapisan enkripsi diterapkan ke objek di sisi server, Anda dapat menggunakan berbagai alat Layanan AWS dan untuk menganalisis data di S3 sambil menggunakan metode enkripsi yang dapat memenuhi persyaratan kepatuhan Anda. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dual-layer dengan kunci (-) AWS KMS DSSE KMS.

Enkripsi sisi server dengan kunci yang disediakan pelanggan (-C) SSE

Dengan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C), Anda mengelola kunci enkripsi, dan Amazon S3 mengelola enkripsi saat menulis ke disk dan dekripsi saat Anda mengakses objek Anda. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan kunci yang disediakan pelanggan (-C) SSE.