本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用加密來保護資料
重要
Amazon S3 現在會使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,作為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS Command Line Interface 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。如需詳細資訊,請參閱預設加密FAQ。
資料保護是指保護往返 Amazon S3 的傳輸中資料,以及存放在 Amazon S3 資料中心內磁碟的靜態資料。您可以使用 Secure Socket Layer/Transport Layer Security (SSL/TLS) 或用戶端加密來保護傳輸中的資料。下列選項皆可讓您保護 Amazon S3 中的靜態資料:
-
伺服器端加密 – Amazon S3 會先加密物件,然後再將物件儲存在 AWS 資料中心的磁碟上,然後在下載物件時解密物件。
根據預設,所有 Amazon S3 儲存貯體都設定了加密,所有上傳到 S3 儲存貯體的新物件都會在靜態時自動加密。使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密是 Amazon S3 中每個儲存貯體的預設加密組態。若要使用不同類型的加密,您可以指定 S3
PUT請求中要使用的伺服器端加密類型,也可以在目的地儲存貯體中設定預設加密組態。如果您想要在
PUT請求中指定不同的加密類型,您可以使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)、雙層伺服器端加密搭配 AWS KMS 金鑰 (DSSE-KMS),或使用客戶提供金鑰 (SSE-C) 的伺服器端加密。如果您想要在目的地儲存貯體中設定不同的預設加密組態,您可以使用 SSE-KMS 或 DSSE-KMS。如需伺服器端加密的每個選項的詳細資訊,請參閱 使用伺服器端加密保護資料。
若要設定伺服器端加密,請參閱:
-
用戶端加密 - 在用戶端加密資料,並將加密的資料上傳至 Amazon S3。在這種情況下,您可以管理加密程序、加密金鑰和相關工具。
若要設定用戶端加密,請參閱 使用用戶端加密保護資料。
若要查看多少百分比的儲存體位元組已加密,您可以使用 Amazon S3 Storage Lens 指標。S3 Storage Lens 是一種雲端儲存體分析功能,您可以用來了解整個組織使用物件儲存體的情況及其活動情形。如需詳細資訊,請參閱使用 S3 Storage Lens 評估儲存活動和用量。如需完整的指標清單,請參閱 S3 Storage Lens 指標詞彙表。
如需伺服器端加密和用戶端加密的相關資訊,請檢閱下列主題。
