使用雙層伺服器端加密搭配 AWS KMS 金鑰（DSSE-KMS）

將雙層伺服器端加密與 AWS Key Management Service （AWS KMS）金鑰（DSSE-KMS）搭配使用，會在物件上傳至 Amazon S3 時套用兩層加密。DSSE-KMS 協助您更輕鬆地滿足合規標準，這些標準需要您將多層加密套用至資料，並完全控制加密金鑰。

當您搭配 Amazon S3 儲存貯體使用 DSSE-KMS 時， AWS KMS 金鑰必須位於與儲存貯體相同的區域中。此外，當物件請求 DSSE-KMS 時，作為物件中繼資料一部分的 S3 總和檢查碼會以加密形式儲存。如需總和檢查的詳細資訊，請參閱檢查物件完整性。

使用 DSSE-KMS 和需支付額外費用 AWS KMS keys。如需 DSSE-KMS 定價的詳細資訊，請參閱 AWS Key Management Service 開發人員指南 和 AWS KMS 定價中的AWS KMS key 概念。

注意

DSSE- 不支援 S3 儲存貯體金鑰KMS。

需要使用 AWS KMS keys （DSSE-KMS）進行雙層伺服器端加密

若要在特定 Amazon S3 儲存貯體中要求所有物件的雙層伺服器端加密，您可以使用儲存貯體政策。例如，如果請求不包含使用 DSSE- 請求伺服器端加密的x-amz-server-side-encryption標頭，則下列儲存貯體政策會拒絕所有人的上傳物件（s3:PutObject）許可KMS。


{
             "Version":"2012-10-17",
             "Id":"PutObjectPolicy",
             "Statement":[{
                   "Sid":"DenyUnEncryptedObjectUploads",
                   "Effect":"Deny",
                   "Principal":"*",
                   "Action":"s3:PutObject",
                   "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition":{
                      "StringNotEquals":{
                         "s3:x-amz-server-side-encryption":"aws:kms:dsse"
                      }
                   }
                }
             ]
          }

主題

使用 AWS KMS 金鑰指定雙層伺服器端加密（DSSE-KMS）

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

檢視 S3 儲存貯體金鑰的設定

指定 DSSE-KMS

使用雙層伺服器端加密搭配 AWS KMS 金鑰 （DSSE-KMS）

注意

需要使用 AWS KMS keys （DSSE-KMS） 進行雙層伺服器端加密

主題

使用雙層伺服器端加密搭配 AWS KMS 金鑰（DSSE-KMS）

需要使用 AWS KMS keys （DSSE-KMS）進行雙層伺服器端加密