搭配 AWS KMS 金鑰 (DSSE-KMS) 使用雙層伺服器端加密

搭配 () 金鑰 AWS Key Management Service (DSSE-KMS AWS KMS) 使用雙層伺服器端加密，會在物件上傳到 Amazon S3 時，將兩層加密套用至物件。DSSE-KMS 可協助您更輕鬆地達成合規標準，這些標準會要求您將多層加密套用至資料，並完全掌控您的加密金鑰。

當您將 DSSE-KMS 與 Amazon S3 儲存貯體搭配使用時，金 AWS KMS 鑰必須與儲存貯體位於相同的區域。此外，當物件要求 DSSE-KMS 時，做為物件中繼資料一部分的 S3 總和檢查會以加密形式存放。如需總和檢查的詳細資訊，請參閱檢查物件完整性。

使用 DSSE-KMS 和需要支付額外費用。 AWS KMS keys如需詳細了解 DSSE-KMS 定價，請參閱《AWS Key Management Service 開發人員指南》中的 AWS KMS key 概念和 AWS KMS 定價。

注意

DSSE-KMS 不支援 S3 儲存貯體金鑰。

需要使用 AWS KMS keys (DSSE-KMS) 進行雙層伺服器端加密

若要在特定 Amazon S3 儲存貯體中要求所有物件的雙層伺服器端加密，您可以使用儲存貯體政策。例如，如果請求不包含要求含 DSSE-KMS 之伺服器端加密的 x-amz-server-side-encryption 標頭，則下列儲存貯體政策會拒絕向所有人上傳物件 (s3:PutObject) 的許可。


{
             "Version":"2012-10-17",
             "Id":"PutObjectPolicy",
             "Statement":[{
                   "Sid":"DenyUnEncryptedObjectUploads",
                   "Effect":"Deny",
                   "Principal":"*",
                   "Action":"s3:PutObject",
                   "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
                   "Condition":{
                      "StringNotEquals":{
                         "s3:x-amz-server-side-encryption":"aws:kms:dsse"
                      }
                   }
                }
             ]
          }

主題

搭配 AWS KMS 金鑰 (DSSE-KMS) 指定雙層伺服器端加密

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

檢視 S3 儲存貯體金鑰的設定

指定 DSSE-KMS