本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配 AWS KMS 金鑰使用伺服器端加密 (SSE-KMS)
**重要**
Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS CLI 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。如需詳細資訊,請參閱[預設加密常見問答集](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html)。
伺服器端加密是指接收資料的應用程式或服務在目的地將資料加密。
Amazon S3 會自動為新上傳的物件,以 Amazon S3 受管金鑰 (SSE-S3) 啟用伺服器端加密。
除非您另行指定,否則根據預設,儲存貯體會使用 SSE-S3 來加密物件。不過,您可以選擇將儲存貯體設定為使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)。如需詳細資訊,請參閱[使用 AWS KMS (SSE-KMS) 指定伺服器端加密](specifying-kms-encryption.md)。
AWS KMS 是一種服務,結合了安全、高可用性的硬體和軟體,以提供針對雲端擴展的金鑰管理系統。Amazon S3 使用伺服器端加密搭配 AWS KMS (SSE-KMS) 來加密 S3 物件資料。此外,當物件請求 SSE-KMS 時,S3 檢查總和 (作為物件中繼資料的一部分) 會以加密形式儲存。如需總和檢查的詳細資訊,請參閱 [在 Amazon S3 中檢查物件完整性](checking-object-integrity.md)。
如果您使用 KMS 金鑰,您可以透過 AWS KMS [AWS 管理主控台](https://console.aws.amazon.com/kms)或 [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) 使用 來執行下列動作:
+ 集中建立、檢視、編輯、監控、啟用或停用、輪換和排程 KMS 金鑰的刪除。
+ 定義可控制 KMS 金鑰使用方式和使用者的政策。
+ 稽核 KMS 金鑰用量以正確使用。[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) 支援稽核,但 [AWS KMS Console;](https://console.aws.amazon.com/kms) 不支援。
中的安全控制 AWS KMS 可協助您符合加密相關的合規要求。您可以使用這些 KMS 金鑰來保護 Amazon S3 儲存貯體中的資料。當您搭配 S3 儲存貯體使用 SSE-KMS 加密時, AWS KMS keys 必須與儲存貯體位於相同的區域。
使用 需支付額外費用 AWS KMS keys。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的 [AWS KMS key 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)和 [AWS KMS 定價](https://aws.amazon.com/kms/pricing)。
如需允許 IAM 使用者存取 KMS 加密儲存貯體的指示,請參閱 [My Amazon S3 儲存貯體具有使用自訂 AWS KMS 金鑰的預設加密。如何允許使用者從 下載並上傳至儲存貯體?](https://repost.aws/knowledge-center/s3-bucket-access-default-encryption) AWS re:Post 知識中心的 。
**許可**
若要成功向 Amazon S3 提出使用 AWS KMS 金鑰加密物件的 `PutObject` 請求,您需要金鑰的 `kms:GenerateDataKey` 許可。若要下載使用 加密的物件 AWS KMS key,您需要 金鑰的`kms:Decrypt`許可。若要[執行分段上傳](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html#mpuAndPermissions)以使用 加密物件 AWS KMS key,您必須擁有 金鑰的 `kms:GenerateDataKey`和 `kms:Decrypt`許可。
**重要**
請仔細檢閱 KMS 金鑰政策中授予的許可。一律將客戶受管 KMS 金鑰政策許可限制為必須存取相關 AWS KMS 金鑰動作的 IAM 主體 AWS 和服務。如需詳細資訊,請參閱 [中的金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
**Topics**
+ [
## AWS KMS keys
](#aws-managed-customer-managed-keys)
+ [
## Amazon S3 儲存貯體金鑰
](#sse-kms-bucket-keys)
+ [
## 要求伺服器端加密
](#require-sse-kms)
+ [
## 加密內容
](#encryption-context)
+ [
## 傳送 AWS KMS 加密物件的請求
](#aws-signature-version-4-sse-kms)
+ [
# 使用 AWS KMS (SSE-KMS) 指定伺服器端加密
](specifying-kms-encryption.md)
+ [
# 使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本
](bucket-key.md)
## AWS KMS keys
當您搭配 AWS KMS (SSE-KMS) 使用伺服器端加密時,您可以使用預設的 [AWS 受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk),也可以指定您已建立[的客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。 AWS KMS 支援*信封加密*。S3 使用*信封加密* AWS KMS 功能來進一步保護您的資料。封套加密是使用資料金鑰來加密純文字資料,然後再透過另一個 KMS 金鑰來加密資料金鑰的實務做法。如需封套加密的詳細資訊,請參閱 *AWS Key Management Service 開發人員指南*中的[封套加密](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#enveloping)。
如果您未指定客戶受管金鑰,Amazon S3 會在您 AWS 帳戶 第一次將以 SSE-KMS 加密的物件新增至儲存貯 AWS 受管金鑰 體時自動建立 。根據預設,Amazon S3 會將此 KMS 金鑰用於 SSE-KMS。
**注意**
使用 SSE-KMS 搭配 [AWS 受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) 加密的物件無法跨帳戶共用。如果您需要跨帳戶共用 SSE-KMS 資料,您必須從中使用[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS。
如果您想要針對 SSE-KMS 使用客戶受管金鑰,請在設定 SSE-KMS 之前建立對稱加密客戶受管金鑰。然後,當您為儲存貯體設定 SSE-KMS 時,請指定現有客戶受管金鑰。如需對稱加密的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[對稱加密 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks)。
建立客戶受管金鑰可為您提供更多的靈活性與控制。例如,您可以建立、輪換和停用客戶受管金鑰。您也可以定義存取控制,並稽核用來保護資料的客戶受管金鑰。如需客戶受管金鑰和 AWS 受管金鑰的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[客戶金鑰和 AWS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)。
**注意**
當您搭配存放在外部金鑰存放區中的客戶受管金鑰使用伺服器端加密時,與標準 KMS 金鑰不同,您有責任確保金鑰材料的可用性和耐久性。如需外部金鑰存放區及其如何轉移共用責任模型的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[外部金鑰存放區](https://docs.aws.amazon.com//kms/latest/developerguide/keystore-external.html)。
### 針對跨帳戶操作使用 SSE-KMS 加密
對跨帳戶操作使用加密時,請注意下列事項:
+ 如果未在請求時間或透過儲存貯體的預設加密組態提供 AWS KMS key Amazon Resource Name (ARN) 或別名, AWS 受管金鑰 則會使用上傳帳戶中的 (`aws/s3`) 進行加密和解密。
+ AWS 受管金鑰 當上傳和存取 (IAM`aws/s3`) 主體來自相同 時, AWS Identity and Access Management () 可以用作跨帳戶操作的 KMS 金鑰 AWS 帳戶。
+ 如果您想要授予 S3 物件跨帳戶存取權,請使用客戶受管金鑰。您可以設定客戶受管金鑰的政策,以允許從另一個帳戶存取的權限。
+ 指定客戶自管 KMS 金鑰時,建議您使用完整的 KMS 金鑰 ARN。如果您改用 KMS 金鑰別名, 會在申請者的帳戶中 AWS KMS 解析金鑰。此行為可能會導致資料使用屬於申請者 (而不是儲存貯體擁有者) 的 KMS 金鑰來加密。
+ 您必須指定已授予您 (要求者) 已獲授予 `Encrypt` 許可的金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[允許金鑰使用者在密碼編譯操作中使用 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto)。
如需何時使用客戶受管金鑰和 AWS 受管 KMS 金鑰的詳細資訊,請參閱[我應該使用 AWS 受管金鑰 或客戶受管金鑰來加密 Amazon S3 中的物件嗎?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-object-encryption-keys/)
### SSE-KMS 加密工作流程
如果您選擇使用 AWS 受管金鑰 或客戶受管金鑰加密資料, AWS KMS Amazon S3 會執行下列信封加密動作:
1. Amazon S3 請求純文字[資料金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#data-keys)和在指定的 KMS 金鑰下加密的金鑰複本。
1. AWS KMS 會產生資料金鑰、在 KMS 金鑰下加密,並將純文字資料金鑰和加密的資料金鑰同時傳送至 Amazon S3。
1. Amazon S3 使用資料金鑰來加密資料,並在使用後盡快從記憶體中移除純文字金鑰。
1. Amazon S3 將加密的資料金鑰以中繼資料形式跟加密資料一起存放。
當您請求解密您的資料時,Amazon S3 會 AWS KMS 執行下列動作:
1. Amazon S3 會在`Decrypt`請求 AWS KMS 中將加密的資料金鑰傳送至 。
1. AWS KMS 使用相同的 KMS 金鑰解密加密的資料金鑰,並將純文字資料金鑰傳回 Amazon S3。
1. Amazon S3 使用純文字資料金鑰來解密加密的資料,然後盡快從記憶體移除純文字資料金鑰。
**重要**
當您在 Amazon S3 中使用 AWS KMS key 進行伺服器端加密時,您必須選擇對稱加密 KMS 金鑰。Amazon S3 只支援對稱加密 KMS 金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[對稱加密 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks)。
### 稽核 SSE-KMS 加密
若要識別指定 SSE-KMS 的請求,您可以在 Amazon S3 Storage Lens 指標中使用**所有 SSE-KMS 請求**和 **% 所有 SSE-KMS 請求**指標。S3 Storage Lens 是一種雲端儲存體分析功能,您可以用來了解整個組織使用物件儲存體的情況及其活動情形。您也可以使用啟用 SSE-KMS 的儲存貯體計數和啟用 SSE-KMS 的儲存貯體百分比,來了解[預設儲存貯體加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) (SSE-KMS) 的儲存貯體計數。如需詳細資訊,請參閱[使用 S3 Storage Lens 評估儲存活動和用量](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html?icmpid=docs_s3_user_guide_UsingKMSEncryption.html)。如需完整的指標清單,請參閱 [S3 Storage Lens 指標詞彙表](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens_metrics_glossary.html?icmpid=docs_s3_user_guide_UsingKMSEncryption.html)。
若要稽核 SSE-KMS 加密資料的 AWS KMS 金鑰使用情況,您可以使用 AWS CloudTrail 日誌。您可以深入了解[密碼編譯操作](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations),例如 [https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html) 和 [https://docs.aws.amazon.com/kms/latest/developerguide/ct-decrypt.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-decrypt.html)。CloudTrail 支援多種[屬性值](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)來篩選搜尋,包括事件名稱、使用者名稱和事件來源。
## Amazon S3 儲存貯體金鑰
當您使用 AWS KMS (SSE-KMS) 設定伺服器端加密時,您可以將儲存貯體設定為使用 SSE-KMS 的 S3 儲存貯體金鑰。使用 SSE-KMS 的儲存貯體層級金鑰,可將 Amazon S3 的 AWS KMS 請求流量降低高達 99% 的請求成本 AWS KMS。
當您將儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰時, AWS KMS 會產生一個儲存貯體層級金鑰,用於為儲存貯體中的物件建立唯一的[資料金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys)。此 S3 儲存貯體金鑰在 Amazon S3 內使用一段時間,進一步減少 Amazon S3 向 提出請求 AWS KMS 以完成加密操作的需求。如需使用 S3 儲存貯體金鑰的詳細資訊,請參閱 [使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)。
## 要求伺服器端加密
若要在特定 Amazon S3 儲存貯體中要求所有物件的伺服器端加密,您可以使用儲存貯體政策。例如,如果請求不包含要求含 SSE-KMS 之伺服器端加密的 `x-amz-server-side-encryption-aws-kms-key-id` 標頭,則下列儲存貯體政策會拒絕向所有人上傳物件 (`s3:PutObject`) 的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"PutObjectPolicy",
"Statement":[{
"Sid":"DenyObjectsThatAreNotSSEKMS",
"Effect":"Deny",
"Principal":"*",
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition":{
"Null":{
"s3:x-amz-server-side-encryption-aws-kms-key-id":"true"
}
}
}
]
}
```
------
若要要求 AWS KMS key 使用特定 來加密儲存貯體中的物件,您可以使用 `s3:x-amz-server-side-encryption-aws-kms-key-id`條件金鑰。若要指定 KMS 金鑰,您必須使用 `arn:aws:kms:region:acct-id:key/key-id` 格式的金鑰 Amazon Resource Name (ARN)。 AWS Identity and Access Management 不會驗證 `s3:x-amz-server-side-encryption-aws-kms-key-id` 的字串是否存在。
**注意**
當您上傳物件時,您可以使用 `x-amz-server-side-encryption-aws-kms-key-id` 標頭或依賴您的[預設儲存貯體加密組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)來指定 KMS 金鑰。如果您的 PutObject 請求在 `x-amz-server-side-encryption` 標頭中指定 `aws:kms`,但未指定 `x-amz-server-side-encryption-aws-kms-key-id` 標頭,則 Amazon S3 會假設您想要使用 AWS 受管金鑰。無論如何,Amazon S3 用於物件加密的 AWS KMS 金鑰 ID 必須符合政策中的 AWS KMS 金鑰 ID,否則 Amazon S3 會拒絕請求。
如需 Amazon S3 特定條件索引鍵的完整清單,請參閱服務授權參考**中的 [Amazon S3 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)。
## 加密內容
*加密內容*是一組金鑰值對,其中包含資料的其他相關內容資訊。加密內容不被加密。為加密操作指定加密內容時,Amazon S3 必須指定與解密操作相同的加密內容。否則,解密失敗。 AWS KMS 會使用加密內容做為[額外的驗證資料](https://docs.aws.amazon.com/database-encryption-sdk/latest/devguide/concepts.html#digital-sigs) (AAD),以支援[驗證加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations#digital-sigs)。如需有關加密內容的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)。
根據預設,Amazon S3 會使用物件或儲存貯體 Amazon Resource Name (ARN) 作為加密內容對:
+ **如果在未啟用 S3 儲存貯體金鑰的情況下使用 SSE-KMS**,則使用物件 ARN 作為加密內容。
```
arn:aws:s3:::object_ARN
```
+ **如果使用 SSE-KMS 並啟用 S3 儲存貯體金鑰**,則使用儲存貯體 ARN 作為加密內容。如需 S3 儲存貯體金鑰的詳細資訊,請參閱 [使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)。
```
arn:aws:s3:::bucket_ARN
```
您可以選擇在 [s3:PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html#API_PutObject_RequestSyntax) 請求中使用 `x-amz-server-side-encryption-context` 標頭,來提供其他加密內容對。不過,加密內容未加密,因此請確保其中不包含敏感資訊。Amazon S3 會一起存放此附加金鑰對與預設加密內容。當其處理 `PUT` 請求時,Amazon S3 會將 `aws:s3:arn` 的預設加密內容附加至您提供的加密內容。
您可以使用加密內容來識別和分類密碼編譯操作。您也可以使用預設加密內容 ARN 值, AWS CloudTrail 透過檢視搭配哪個加密金鑰使用的 Amazon S3 ARN,在 中追蹤相關請求。
在 CloudTrail 日誌檔案的 `requestParameters` 欄位中,加密內容看起來如下。
```
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket1/file_name"
}
```
當您搭配選用 S3 儲存貯體金鑰功能使用 SSE-KMS 時,加密內容值是儲存貯體的 ARN。
```
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket1"
}
```
## 傳送 AWS KMS 加密物件的請求
**重要**
AWS KMS 加密物件的所有 `GET`和 `PUT`請求必須使用 Secure Sockets Layer (SSL) 或 Transport Layer Security (TLS) 提出。請求也必須使用有效的登入資料簽署,例如 AWS Signature 第 4 版 (或 AWS Signature 第 2 版)。
AWS Signature 第 4 版是將 AWS 身分驗證資訊新增至 HTTP 傳送之請求的程序。為了安全起見,對 的大多數請求 AWS 都必須使用存取金鑰簽署,該金鑰包含存取金鑰 ID 和私密存取金鑰。這兩種金鑰通常稱為您的安全憑證。如需詳細資訊,請參閱身分[身分驗證請求 (AWS Signature 第 4 版)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) 和 [Signature 第 4 版簽章程序](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)。
**重要**
如果您的物件使用 SSE-KMS,請不要傳送 `GET` 請求與 `HEAD` 請求的加密請求標頭。否則,您會收到 HTTP 400 Bad Request (HTTP 400 錯誤的請求) 錯誤。
**Topics**
+ [
## AWS KMS keys
](#aws-managed-customer-managed-keys)
+ [
## Amazon S3 儲存貯體金鑰
](#sse-kms-bucket-keys)
+ [
## 要求伺服器端加密
](#require-sse-kms)
+ [
## 加密內容
](#encryption-context)
+ [
## 傳送 AWS KMS 加密物件的請求
](#aws-signature-version-4-sse-kms)
+ [
# 使用 AWS KMS (SSE-KMS) 指定伺服器端加密
](specifying-kms-encryption.md)
+ [
# 使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本
](bucket-key.md)
# 使用 AWS KMS (SSE-KMS) 指定伺服器端加密
根據預設,所有 Amazon S3 儲存貯體都設定了加密,所有上傳到 S3 儲存貯體的新物件都會在靜態時自動加密。伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 是 Amazon S3 中每個儲存貯體的預設加密組態。若要使用不同類型的加密,您可以指定 S3 `PUT` 請求中要使用的伺服器端加密類型,也可以在目的地儲存貯體中更新預設加密組態。
如果您想要在`PUT`請求中指定不同的加密類型,您可以使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)、雙層伺服器端加密搭配 AWS KMS 金鑰 (DSSE-KMS),或伺服器端加密搭配客戶提供的金鑰 (SSE-C)。若您想在目的地儲存貯體中設定不同的預設加密組態,您可以使用 SSE-KMS 或 DSSE-KMS。
如需變更一般用途儲存貯體之預設加密組態的詳細資訊,請參閱 [設定預設加密](default-bucket-encryption.md)。
當您將儲存貯體的預設加密組態變更為 SSE-KMS 時,並不會變更儲存貯體中現有 Amazon S3 物件的加密類型。若要在將預設加密組態更新為 SSE-KMS 之後變更既有物件的加密類型,您可以使用 Amazon S3 Batch Operations。您為 S3 Batch Operations 提供物件清單,而批次操作會呼叫個別 API 操作。您可以使用 [複製物件](batch-ops-copy-object.md) 動作來複製現有物件,該動作會將它們寫回與 SSE-KMS 加密物件相同的儲存貯體。單一批次操作任務可在數十億個物件上執行指定的操作。如需詳細資訊,請參閱 [使用 Batch Operations 大量執行物件操作](batch-ops.md) 和 *AWS 儲存部落格*文章[如何使用 S3 庫存清單、Amazon Athena 和 S3 Batch Operations 來追溯加密 Amazon S3 中的現有物件](https://aws.amazon.com/blogs/security/how-to-retroactively-encrypt-existing-objects-in-amazon-s3-using-s3-inventory-amazon-athena-and-s3-batch-operations/)。
您可以使用 Amazon S3 主控台、REST API 操作、SDK 和 () 來指定 SSE AWS SDKs AWS CLI。 AWS Command Line Interface 如需詳細資訊,請參閱下列主題。
**注意**
您可以在 Amazon S3 AWS KMS keys 中使用多區域。但是,Amazon S3 目前將多區域金鑰視為單區域金鑰,並且不使用金鑰的多區域功能。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
**注意**
如果您想要使用其他帳戶擁有的 KMS 金鑰,您必須具有該金鑰的許可。如需詳細了解 KMS 金鑰跨帳戶權限,請參閱《AWS Key Management Service 開發人員指南》**中的[建立其他帳戶可使用的 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console)。
## 使用 S3 主控台
本主題說明如何設定或變更物件的加密類型,以使用 Amazon S3 主控台搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 使用伺服器端加密。
**注意**
如果您的物件小於 5 GB,您可以變更物件的加密。如果您的物件大於 5 GB,您必須使用 [AWS CLI](mpu-upload-object.md#UsingCLImpUpload) 或 [AWS SDK](CopyingObjectsMPUapi.md) 來變更物件的加密。
如需變更物件加密所需的其他許可清單,請參閱[Amazon S3 API 操作所需的許可](using-with-s3-policy-actions.md)。如需授予此許可的範例政策,請參閱[Amazon S3 的身分型政策範例](example-policies-s3.md)。
如果您變更物件的加密,則會建立新物件來取代舊物件。如果啟用 S3 版本控制,則系統會建立物件的新版本,且現有物件會變成較舊的版本。變更屬性的角色也會成為新物件 (或物件版本) 的擁有者。
**新增或變更物件的加密**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在導覽窗格中,選擇**儲存貯體**,然後選擇**一般用途儲存貯體**索引標籤。導覽至包含您要變更之物件的 Amazon S3 儲存貯體或資料夾。
1. 選取您要變更之物件的核取方塊。
1. 從**動作**功能表上顯示的選項清單中,選擇**編輯伺服器端加密**。
1. 捲動至**伺服器端加密**區段。
1. 在**加密設定**底下,選擇**使用預設加密的儲存貯體設定**或**覆寫預設加密的儲存貯體設定**。
**重要**
如果您針對預設加密組態使用 SSE-KMS 選項,則受到 AWS KMS的每秒請求數目 (RPS) 配額限制。如需 AWS KMS 配額以及如何請求提高配額的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[配額](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html)。
1. 若您選擇**覆寫預設加密的儲存貯體設定**,請設定下列加密設定。
1. 在**加密類型**下,選擇**伺服器端加密與 AWS Key Management Service 金鑰 (SSE-KMS)**。
1. 在 **AWS KMS 金鑰**之下,執行下列其中一個動作,以選擇 KMS 金鑰:
+ 若要從可用的 KMS 金鑰清單中選擇,請選擇**從 AWS KMS keys中選擇**,然後從可用金鑰清單中選擇您的 **KMS 金鑰**。
AWS 受管金鑰 (`aws/s3`) 和您的客戶受管金鑰都會顯示在此清單中。如需詳細了解客戶受管金鑰,請參閱《AWS Key Management Service 開發人員指南》**中的[客戶金鑰和 AWS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)。
+ 若要輸入 KMS 金鑰 ARN,請選擇**輸入 AWS KMS key ARN**,然後在出現的欄位中輸入您的 KMS 金鑰 ARN。
+ 若要在 AWS KMS 主控台中建立新的客戶受管金鑰,請選擇**建立 KMS 金鑰**。
如需建立 的詳細資訊 AWS KMS key,請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html)。
**重要**
您只能使用 AWS 區域 與儲存貯體相同的 KMS 金鑰。Amazon S3 主控台僅會列出與儲存貯體位於相同區域的前 100 個 KMS 金鑰。若要使用未列出的 KMS 金鑰,必須輸入 KMS 金鑰 ARN。若您想要使用其他帳戶的 KMS 金鑰,您必須先具有該金鑰的使用權限,然後輸入 KMS 金鑰 ARN。
Amazon S3 僅支援對稱加密 KMS 金鑰,而不支援非對稱 KMS 金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[識別對稱和非對稱 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html)。
1. 在**其他複製設定**下,選擇**複製來源設定**、**不要指定設定**或**指定設定**。**複製來源設定**是預設選項。如果您只想複製物件但不想包含來源設定屬性,請選擇**不要指定設定**。選擇**指定設定**以指定儲存類別、ACL、物件標籤、中繼資料、伺服器端加密和額外檢查總和的設定。
1. 選擇 **Save changes** (儲存變更)。
**注意**
此動作會將加密套用至所有指定的物件。加密資料夾時,請等待儲存作業完成,然後再將新物件新增至資料夾。
## 使用 REST API
建立物件 (即上傳新物件或複製現有物件) 時,可以指定使用伺服器端加密和 AWS KMS keys (SSE-KMS) 來加密資料。若要執行這項操作,請將 `x-amz-server-side-encryption` 標頭新增至要求。將標頭的值設為加密演算法 `aws:kms`。Amazon S3 會傳回回應標頭 `x-amz-server-side-encryption`,確認已使用 SSE-KMS 存放物件。
如果您使用 `aws:kms` 的值指定 `x-amz-server-side-encryption` 標頭,也可以使用下列要求標頭:
+ `x-amz-server-side-encryption-aws-kms-key-id`
+ `x-amz-server-side-encryption-context`
+ `x-amz-server-side-encryption-bucket-key-enabled`
**Topics**
+ [
### 支援 SSE-KMS 的 Amazon S3 REST API 操作
](#sse-request-headers-kms)
+ [
### 加密內容 (`x-amz-server-side-encryption-context`)
](#s3-kms-encryption-context)
+ [
### AWS KMS 金鑰 ID (`x-amz-server-side-encryption-aws-kms-key-id`)
](#s3-kms-key-id-api)
+ [
### S3 儲存貯體金鑰 (`x-amz-server-side-encryption-aws-bucket-key-enabled`)
](#bucket-key-api)
### 支援 SSE-KMS 的 Amazon S3 REST API 操作
下列 REST API 操作接受 `x-amz-server-side-encryption`、`x-amz-server-side-encryption-aws-kms-key-id` 和 `x-amz-server-side-encryption-context` 請求標頭。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) – 使用 `PUT` API 操作上傳資料時,您可以指定這些請求標頭。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) – 複製物件時,您會同時有來源物件與目標物件。當您使用 `CopyObject` 操作傳遞 SSE-KMS 標頭時,這些標頭只會套用至目標物件。複製現有物件時,除非明確請求伺服器端加密,否則無論來源物件是否經過加密,都不會加密目的地物件。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html) – 使用 `POST` 操作上傳物件時,您會提供與表單欄位中相同的資訊,而不是請求標頭。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) – 使用分段上傳 API 操作上傳大型物件時,您可以指定這些標頭。您可以在 `CreateMultipartUpload` 請求中指定這些標頭。
使用伺服器端加密存放物件時,下列 REST API 操作的回應標頭會傳回 `x-amz-server-side-encryption` 標頭。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
**重要**
如果您未使用 Secure Sockets Layer (SSL)、Transport Layer Security (TLS) 或第 4 版簽署程序,則受 AWS KMS 保護物件的所有 `GET` 和 `PUT` 請求將會失敗。
如果您的物件使用 SSE-KMS,請勿傳送 `GET` 請求與 `HEAD` 請求的加密請求標頭,否則您會收到 HTTP 400 BadRequest 錯誤。
### 加密內容 (`x-amz-server-side-encryption-context`)
如果您指定 `x-amz-server-side-encryption:aws:kms`,則 Amazon S3 API 支援具有 `x-amz-server-side-encryption-context` 標頭的加密內容。加密內容是一組金鑰值對,其中包含資料的其他相關內容資訊。
Amazon S3 會自動使用物件或儲存貯體 Amazon Resource Name (ARN) 作為加密內容對。如果您在未啟用 S3 儲存貯體金鑰的情況下使用 SSE-KMS,則您使用物件 ARN 做為加密內容,例如 `arn:aws:s3:::object_ARN`。不過,如果您使用 SSE-KMS 並啟用 S3 儲存貯體金鑰,則會將儲存貯體 ARN 用於加密內容,例如 `arn:aws:s3:::bucket_ARN`。
您可以使用 `x-amz-server-side-encryption-context` 標頭來提供其他加密內容對。不過,由於加密內容未加密,因此請確保其中不包含敏感資訊。Amazon S3 會一起存放此附加金鑰對與預設加密內容。
如需 Amazon S3 中加密內容的相關資訊,請參閱 [加密內容](UsingKMSEncryption.md#encryption-context)。如需有關加密內容的更多資訊,請參閱《AWS Key Management Service 開發人員指南》**中的 [AWS Key Management Service 概念:加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)。
### AWS KMS 金鑰 ID (`x-amz-server-side-encryption-aws-kms-key-id`)
您可以使用 `x-amz-server-side-encryption-aws-kms-key-id` 標頭來指定用來保護資料之客戶受管金鑰的 ID。如果您指定 `x-amz-server-side-encryption:aws:kms` 標頭,但未提供 `x-amz-server-side-encryption-aws-kms-key-id` 標頭,則 Amazon S3 會使用 AWS 受管金鑰 (`aws/s3`) 來保護資料。如果您想要使用客戶受管的金鑰,則必須提供客戶受管金鑰的 `x-amz-server-side-encryption-aws-kms-key-id` 標頭。
**重要**
當您在 Amazon S3 中使用 AWS KMS key 進行伺服器端加密時,您必須選擇對稱加密 KMS 金鑰。Amazon S3 只支援對稱加密 KMS 金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[對稱加密 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks)。
### S3 儲存貯體金鑰 (`x-amz-server-side-encryption-aws-bucket-key-enabled`)
您可以使用 `x-amz-server-side-encryption-aws-bucket-key-enabled` 請求標頭在物件層級啟用或停用 S3 儲存貯體金鑰。S3 儲存貯體金鑰透過減少來自 AWS KMS Amazon S3 的請求流量來降低請求成本 AWS KMS。如需詳細資訊,請參閱[使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)。
如果您指定 `x-amz-server-side-encryption:aws:kms` 標頭但未提供 `x-amz-server-side-encryption-aws-bucket-key-enabled` 標頭,則您的物件使用目的地儲存貯體存儲桶的 S3 儲存貯體金鑰設定來加密您的物件。如需詳細資訊,請參閱[在物件層級設定 S3 儲存貯體金鑰](configuring-bucket-key-object.md)。
## 使用 AWS CLI
若要使用下列範例 AWS CLI 命令,請將 取代`user input placeholders`為您自己的資訊。
當您上傳新物件或複製現有物件時,您可以指定使用伺服器端加密搭配 AWS KMS 金鑰來加密資料。若要執行這項操作,請將 `--server-side-encryption aws:kms` 標頭新增至要求。使用 `--ssekms-key-id example-key-id` 新增您建立[的客戶受管 AWS KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#customer-cmk)。如果您指定 `--server-side-encryption aws:kms`,但未提供 AWS KMS 金鑰 ID,Amazon S3 將使用 AWS 受管金鑰。
```
aws s3api put-object --bucket amzn-s3-demo-bucket --key example-object-key --server-side-encryption aws:kms --ssekms-key-id example-key-id --body filepath
```
您還可以透過新增 `--bucket-key-enabled` 或 `--no-bucket-key-enabled`,在 PUT 或 COPY 操作上啟用或停用 Amazon S3 儲存貯體金鑰。Amazon S3 儲存貯體金鑰可以透過減少來自 Amazon S3 的 AWS KMS 請求流量來降低請求成本 AWS KMS。如需詳細資訊,請參閱[使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 成本](https://docs.aws.amazon.com//AmazonS3/latest/userguide/bucket-key.html)。
```
aws s3api put-object --bucket amzn-s3-demo-bucket --key example-object-key --server-side-encryption aws:kms --bucket-key-enabled --body filepath
```
您可以將未加密的物件加密以使用 SSE-KMS,方法是將物件複製回原位。
```
aws s3api copy-object --bucket amzn-s3-demo-bucket --key example-object-key --body filepath --bucket amzn-s3-demo-bucket --key example-object-key --sse aws:kms --sse-kms-key-id example-key-id --body filepath
```
## 使用 AWS SDKs
使用 AWS SDKs時,您可以請求 Amazon S3 使用 AWS KMS keys 進行伺服器端加密。下列範例示範如何使用 SSE-KMS 搭配適用於 Java 和 .NET AWS SDKs。如需其他 SDKs的資訊,請參閱《 AWS 開發人員中心》上的[範例程式碼和程式庫](https://aws.amazon.com/code)。
**重要**
當您在 Amazon S3 中使用 AWS KMS key 進行伺服器端加密時,您必須選擇對稱加密 KMS 金鑰。Amazon S3 只支援對稱加密 KMS 金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[對稱加密 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks)。
### `CopyObject` 操作
複製物件時,請新增相同的請求屬性 (`ServerSideEncryptionMethod` 與 `ServerSideEncryptionKeyManagementServiceKeyId`),以請求 Amazon S3 使用 AWS KMS key。如需複製物件的詳細資訊,請參閱「[複製、移動和重新命名物件](copy-object.md)」。
### `PUT` 操作
------
#### [ Java ]
使用 上傳物件時 適用於 Java 的 AWS SDK,您可以透過 AWS KMS key 新增 `SSEAwsKeyManagementParams` 屬性來請求 Amazon S3 使用 ,如下列請求所示:
```
PutObjectRequest putRequest = new PutObjectRequest(bucketName,
keyName, file).withSSEAwsKeyManagementParams(new SSEAwsKeyManagementParams());
```
在此情況下,Amazon S3 會使用 AWS 受管金鑰 (`aws/s3`)。如需詳細資訊,請參閱[搭配 AWS KMS 金鑰使用伺服器端加密 (SSE-KMS)](UsingKMSEncryption.md)。您可以選擇建立對稱加密 KMS 金鑰,並在請求中指定該金鑰,如下列範例所示:
```
PutObjectRequest putRequest = new PutObjectRequest(bucketName,
keyName, file).withSSEAwsKeyManagementParams(new SSEAwsKeyManagementParams(keyID));
```
如需建立客戶受管金鑰的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[程式設計 AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html)。
如需上傳物件的可行程式碼範例,請參閱下列主題。若要使用這些範例,您必須更新這些程式碼範例並提供加密資訊,如上述程式碼片段所示。
+ 如需以單一操作上傳物件,請參閱 [上傳物件](upload-objects.md)。
+ 如需使用高階或低階分段上傳 API 操作的分段上傳,請參閱[使用分段上傳來上傳物件](mpu-upload-object.md)。
------
#### [ .NET ]
使用 上傳物件時 適用於 .NET 的 AWS SDK,您可以透過 AWS KMS key 新增 `ServerSideEncryptionMethod` 屬性來請求 Amazon S3 使用 ,如下列請求所示:
```
PutObjectRequest putRequest = new PutObjectRequest
{
BucketName = amzn-s3-demo-bucket,
Key = keyName,
// other properties
ServerSideEncryptionMethod = ServerSideEncryptionMethod.AWSKMS
};
```
在此情況下,Amazon S3 會使用 AWS 受管金鑰。如需詳細資訊,請參閱[搭配 AWS KMS 金鑰使用伺服器端加密 (SSE-KMS)](UsingKMSEncryption.md)。您可以選擇建立自己的對稱加密客戶自管金鑰,並在請求中指定該金鑰,如下列範例所示:
```
PutObjectRequest putRequest1 = new PutObjectRequest
{
BucketName = amzn-s3-demo-bucket,
Key = keyName,
// other properties
ServerSideEncryptionMethod = ServerSideEncryptionMethod.AWSKMS,
ServerSideEncryptionKeyManagementServiceKeyId = keyId
};
```
如需建立客戶受管金鑰的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[程式設計 AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html)。
如需上傳物件的可行程式碼範例,請參閱下列主題。若要使用這些範例,您必須更新這些程式碼範例並提供加密資訊,如上述程式碼片段所示。
+ 如需以單一操作上傳物件,請參閱 [上傳物件](upload-objects.md)。
+ 如需使用高階或低階分段上傳 API 操作的分段上傳,請參閱[使用分段上傳來上傳物件](mpu-upload-object.md)。
------
### 預先簽章的 URL
------
#### [ Java ]
為使用 AWS KMS key加密的物件建立預先簽章 URL 時,您必須明確指定第 4 版簽署程序,如下列範例所示:
```
ClientConfiguration clientConfiguration = new ClientConfiguration();
clientConfiguration.setSignerOverride("AWSS3V4SignerType");
AmazonS3Client s3client = new AmazonS3Client(
new ProfileCredentialsProvider(), clientConfiguration);
...
```
如需程式碼範例,請參閱「[使用預先簽章的 URL 來共用物件](ShareObjectPreSignedURL.md)」。
------
#### [ .NET ]
為使用 AWS KMS key加密的物件建立預先簽章 URL 時,您必須明確指定第 4 版簽署程序,如下列範例所示:
```
AWSConfigs.S3Config.UseSignatureVersion4 = true;
```
如需程式碼範例,請參閱「[使用預先簽章的 URL 來共用物件](ShareObjectPreSignedURL.md)」。
------
# 使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本
Amazon S3 儲存貯體金鑰使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 降低 Amazon S3 伺服器端加密的成本。使用 SSE-KMS 的儲存貯體層級金鑰,可將 Amazon S3 的 AWS KMS 請求流量降低高達 99% 的請求成本 AWS KMS。只要在 AWS 管理主控台中點擊幾下,而無需對用戶端應用程式進行任何變更,您就可以設定儲存貯體,在新物件上使用 S3 儲存貯體金鑰進行 SSE-KMS 加密。
**注意**
使用 AWS Key Management Service (AWS KMS) 金鑰 (DSSE-KMS) 的雙層伺服器端加密不支援 S3 儲存貯體金鑰。
## 適用於 SSE-KMS 的 S3 儲存貯體金鑰
存取以 SSE-KMS 加密的數百萬或數十億個物件的工作負載可以產生大量的請求 AWS KMS。當您使用 SSE-KMS 來保護沒有 S3 儲存貯體金鑰的資料時,Amazon S3 會為每個物件使用個別 AWS KMS [資料金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys)。在此情況下,Amazon S3 AWS KMS 每次對 KMS 加密物件提出請求時都會呼叫 。如需 SSE-KMS 如何運作的相關資訊,請參閱 [搭配 AWS KMS 金鑰使用伺服器端加密 (SSE-KMS)](UsingKMSEncryption.md)。
當您將儲存貯體設定為使用 SSE-KMS 的 S3 儲存貯體金鑰時, 會從中 AWS 產生短期儲存貯體層級金鑰 AWS KMS,然後暫時將其保留在 S3 中。此儲存貯體層級金鑰會其生命週期中建立資料金鑰。S3 儲存貯體金鑰在 Amazon S3 內的有限期間內使用,減少 S3 向 提出請求 AWS KMS 以完成加密操作的需求。這可減少從 S3 到 的流量 AWS KMS,可讓您以先前成本的一小部分存取 Amazon S3 中的 AWS KMS加密物件。
每個請求者至少擷取一次唯一的儲存貯體層級金鑰,以確保在 an AWS KMS CloudTrail 事件中擷取請求者的金鑰存取權。當呼叫者使用不同的角色或帳戶,或具有不同範圍政策的相同角色時,Amazon S3 會將呼叫者視為不同的請求者。 AWS KMS 請求節省會反映請求者的數量、請求模式,以及請求物件的相對存留期。例如,較少的請求者數量、在有限的時間範圍內請求多個物件,以及使用相同的儲存貯體層級金鑰加密,會節省更多成本。
**注意**
使用 S3 儲存貯體金鑰可讓您透過使用儲存貯體層級金鑰,減少 AWS KMS 對 `Encrypt`、 和 `Decrypt`操作的請求`GenerateDataKey`,以節省 AWS KMS 請求成本。根據設計,利用此儲存貯體層級金鑰的後續請求不會導致 AWS KMS API 請求或根據 AWS KMS 金鑰政策驗證存取權。
當您設定 S3 儲存貯體金鑰時,儲存貯體中已存在的物件不會使用 S3 儲存貯體金鑰。若要為現有物件設定 S3 儲存貯體金鑰,您可以使用 `CopyObject` 操作。如需詳細資訊,請參閱[在物件層級設定 S3 儲存貯體金鑰](configuring-bucket-key-object.md)。
Amazon S3 只會針對相同 AWS KMS key加密的物件共用 S3 儲存貯體金鑰。S3 儲存貯體金鑰與由 建立的 KMS 金鑰 AWS KMS、[匯入的金鑰材料](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html),以及[由自訂金鑰存放區支援的金鑰材料](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html)相容。
![\[圖表顯示 AWS KMS 產生儲存貯體金鑰,為儲存貯體中的物件建立資料金鑰。\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/images/S3-Bucket-Keys.png)
## 設定 S3 儲存貯體金鑰
您可以透過 Amazon S3 主控台 AWS CLI、 AWS SDKs 或 REST API,將儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰。 Amazon S3 在儲存貯體上啟用 S3 儲存貯體金鑰後,使用不同所指定 SSE-KMS 金鑰上傳的物件將使用自己的 S3 儲存貯體金鑰。無論您的 S3 儲存貯體金鑰設定為何,您都可以在請求中包含具有 `true` 或 `false` 值的 `x-amz-server-side-encryption-bucket-key-enabled` 標頭,以覆寫儲存貯體設定。
在您將儲存貯體設定為使用 S3 儲存貯體金鑰之前,請先檢閱 [啟用 S3 儲存貯體金鑰之前,要注意的變更](#bucket-key-changes)。
### 使用 Amazon S3 主控台設定 S3 儲存貯體金鑰
當您建立新儲存貯體時,您可以將儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰。您也可以透過更新儲存貯體屬性,將現有儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰。
如需詳細資訊,請參閱[設定您的儲存貯體以使用具有 SSE-KMS 的 S3 儲存貯體來獲取新物件](configuring-bucket-key.md)。
### REST API AWS CLI和軟體 AWS 開發套件支援 S3 儲存貯體金鑰
您可以使用 REST API AWS CLI或 AWS SDK,將儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰。您也可以在物件層級啟用 S3 儲存貯體金鑰。
如需詳細資訊,請參閱下列內容:
+ [在物件層級設定 S3 儲存貯體金鑰](configuring-bucket-key-object.md)
+ [設定您的儲存貯體以使用具有 SSE-KMS 的 S3 儲存貯體來獲取新物件](configuring-bucket-key.md)
下列 API 操作支援 SSE-KMS 的 S3 儲存貯體金鑰:
+ [PutBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ `ServerSideEncryptionRule`接受啟用和停用 S3 儲存貯體金鑰的 `BucketKeyEnabled` 參數。
+ [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ `ServerSideEncryptionRule` 會傳回 `BucketKeyEnabled` 的設定。
+ [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)、[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)、[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) 和 [POST Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)
+ `x-amz-server-side-encryption-bucket-key-enabled` 請求標頭啟用或停用在物件層級的 S3 儲存貯體金鑰。
+ [HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)、[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)、[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)、[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html) 和 [CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ `x-amz-server-side-encryption-bucket-key-enabled` 回應標頭表示是否為物件啟用或停用 S3 儲存貯體金鑰。
### 使用 CloudFormation
在 中 CloudFormation, `AWS::S3::Bucket` 資源包含名為 的加密屬性`BucketKeyEnabled` ,可用來啟用或停用 S3 儲存貯體金鑰。
如需詳細資訊,請參閱[使用 CloudFormation](configuring-bucket-key.md#enable-bucket-key-cloudformation)。
## 啟用 S3 儲存貯體金鑰之前,要注意的變更
啟用 S3 儲存貯體金鑰之前,請注意下列相關變更:
### IAM 或 AWS KMS 金鑰政策
如果您現有的 AWS Identity and Access Management (IAM) 政策或 AWS KMS 金鑰政策使用物件 Amazon Resource Name (ARN) 做為加密內容,以精簡或限制對 KMS 金鑰的存取,這些政策將無法與 S3 儲存貯體金鑰搭配使用。S3 儲存貯體金鑰使用儲存貯體 ARN 作為加密內容。啟用 S3 儲存貯體金鑰之前,請更新您的 IAM 政策或 AWS KMS 金鑰政策,以使用儲存貯體 ARN 做為加密內容。
如需加密內容與 S3 儲存貯體金鑰的詳細資訊,請參閱 [加密內容](UsingKMSEncryption.md#encryption-context)。
### 的 CloudTrail 事件 AWS KMS
啟用 S3 儲存貯體金鑰後, AWS KMS CloudTrail 事件會記錄儲存貯體 ARN,而不是物件 ARN。此外,您會在日誌中看到較少的 SSE-KMS 物件 KMS CloudTrail 事件。 由於 Amazon S3 中的金鑰材料有時間限制,因此對 提出的請求較少 AWS KMS。
## 使用 S3 儲存貯體金鑰與複寫
您可以將 S3 儲存貯體金鑰與相同區域複寫 (SRR) 和跨區域複寫 (CRR) 搭配使用。
Amazon S3 複寫加密物件時,通常會在目的地儲存貯體中保留複本物件的加密設定。不過,如果來源物件未加密,且目的地儲存貯體使用預設加密或 S3 儲存貯體金鑰,Amazon S3 會使用目的地儲存貯體的組態加密物件。
下列範例說明 S3 儲存貯體金鑰如何與複寫搭配使用。如需詳細資訊,請參閱[複寫加密的物件 (SSE-S3、SSE-KMS、DSSE-KMS、SSE-C)](replication-config-for-kms-objects.md)。
**Example 範例 1 — 來源物件使用 S3 儲存貯體金鑰,目的地儲存貯體使用預設加密**
如果您的來源物件使用 S3 儲存貯體金鑰,但目的地儲存貯體使用預設加密搭配 SSE-KMS,則複本物件會在目的地儲存貯體中維護其 S3 儲存貯體金鑰加密設定。目的地儲存貯體仍使用預設加密搭配 SSE-KMS。
**Example 範例 2 — 來源物件未加密,目的地儲存貯體使用 S3 儲存貯體金鑰搭配 SSE-KMS**
如果您的來源物件未加密,且目的地儲存貯體使用 SSE-KMS 的 S3 儲存貯體金鑰,則複本物件會使用目的地儲存貯體中的 SSE-KMS,使用 S3 儲存貯體金鑰加密。這會導致來源物件的 `ETag` 與複本物件的 `ETag` 不同。您必須更新可使用 `ETag` 的應用程式來容納這項差異。
## 使用 S3 儲存貯體金鑰
如需啟用及使用 S3 儲存貯體金鑰的詳細資訊,請參閱下列章節:
+ [設定您的儲存貯體以使用具有 SSE-KMS 的 S3 儲存貯體來獲取新物件](configuring-bucket-key.md)
+ [在物件層級設定 S3 儲存貯體金鑰](configuring-bucket-key-object.md)
+ [檢視 S3 儲存貯體金鑰的設定](viewing-bucket-key-settings.md)
# 設定您的儲存貯體以使用具有 SSE-KMS 的 S3 儲存貯體來獲取新物件
當您使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 設定伺服器端加密時,您可以將儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰。S3 儲存貯體金鑰可減少從 Amazon S3 到 的請求流量, AWS KMS 並降低 SSE-KMS 的成本。如需詳細資訊,請參閱[使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)。
您可以使用 Amazon S3 主控台、REST API、 AWS SDKs、 AWS Command Line Interface (AWS CLI) 或 ,將儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰 CloudFormation。 Amazon S3 如果您想要啟用或停用現有物件的 S3 儲存貯體金鑰,可以使用 `CopyObject` 操作。如需詳細資訊,請參閱 [在物件層級設定 S3 儲存貯體金鑰](configuring-bucket-key-object.md) 與 [使用 Batch Operations 為 SSE-KMS 啟用 S3 儲存貯體金鑰](batch-ops-copy-example-bucket-key.md)。
針對來源或目的地儲存貯體啟用 S3 儲存貯體金鑰時,加密內容將是儲存貯體 Amazon Resource Name (ARN),而不是物件 ARN,例如 `arn:aws:s3:::bucket_ARN`。您需要更新 IAM 政策,才能將儲存貯體 ARN 用於加密內容。如需詳細資訊,請參閱[S3 儲存貯體金鑰和複寫](replication-config-for-kms-objects.md#bk-replication)。
下列範例說明 S3 儲存貯體金鑰如何與複寫搭配使用。如需詳細資訊,請參閱[複寫加密的物件 (SSE-S3、SSE-KMS、DSSE-KMS、SSE-C)](replication-config-for-kms-objects.md)。
**先決條件**
在您將儲存貯體設定為使用 S3 儲存貯體金鑰之前,請先檢閱 [啟用 S3 儲存貯體金鑰之前,要注意的變更](bucket-key.md#bucket-key-changes)。
**Topics**
## 使用 S3 主控台
在 S3 主控台中,您可以啟用或停用新的或現有儲存貯體的 S3 儲存貯體金鑰。S3 主控台中的物件會從儲存貯體組態繼承其 S3 儲存貯體金鑰設定。當您為儲存貯體啟用 S3 儲存貯體金鑰時,上傳至儲存貯體的新物件使用 S3 儲存貯體金鑰以進行 SSE-KMS。
**在啟用 S3 儲存貯體金鑰的儲存貯體中上傳、複製或修改物件**
如果您在已啟用 S3 儲存貯體金鑰的儲存貯體中上傳、修改或複製物件,則該物件的 S3 儲存貯體金鑰設定可能會更新以符合儲存貯體組態。
如果物件已啟用 S3 儲存貯體金鑰,則在您複製或修改物件時,該物件的 S3 儲存貯體金鑰設定不會變更。但是,如果您修改或複製未啟用 S3 儲存貯體金鑰的物件,且目的地儲存貯體具有 S3 儲存貯體金鑰組態,則物件會繼承目的地儲存貯體的 S3 儲存貯體金鑰設定。例如,如果您的來源物件沒有啟用 S3 儲存貯體金鑰,但目的地儲存貯體已啟用 S3 儲存貯體金鑰,則將為該物件啟用 S3 儲存貯體金鑰。
**在建立新儲存貯體時啟用 S3 儲存貯體金鑰**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左側導覽窗格中,選擇 **Buckets** (儲存貯體)。
1. 選擇**建立儲存貯體**。
1. 輸入您的儲存貯體名稱,然後選擇您的 AWS 區域。
1. 在**預設加密**之下,針對**加密金鑰類型**選擇 **AWS Key Management Service 金鑰 (SSE-KMS)**。
1. 在 **AWS KMS 金鑰**之下,執行下列其中一個動作,以選擇 KMS 金鑰:
+ 若要從可用的 KMS 金鑰清單中選擇,請選擇**從中選擇 AWS KMS keys**,然後從可用的金鑰清單中選擇您的 **KMS** 金鑰。
AWS 受管金鑰 (`aws/s3`) 和您的客戶受管金鑰都會顯示在此清單中。如需客戶受管金鑰的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[客戶金鑰和 AWS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)。
+ 若要輸入 KMS 金鑰 ARN,請選擇**輸入 AWS KMS key ARN**,然後在出現的欄位中輸入您的 KMS 金鑰 ARN。
+ 若要在 AWS KMS 主控台中建立新的客戶受管金鑰,請選擇**建立 KMS 金鑰**。
如需建立 的詳細資訊 AWS KMS key,請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html)。
1. 在 **Bucket Key** (儲存貯體金鑰) 底下,選擇 **Enable** (啟用)。
1. 選擇 **Create bucket** (建立儲存貯體)。
Amazon S3 會在啟用 S3 儲存貯體金鑰的情況下建立您的儲存貯體。您上傳到儲存貯體的新物件將使用 S3 儲存貯體金鑰。
若要停用 S3 儲存貯體金鑰,請依照上述步驟執行,然後選擇 **Disable (停用)**。
**為現有儲存貯體啟用 S3 儲存貯體金鑰**
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在左側導覽窗格中,選擇 **Buckets** (儲存貯體)。
1. 在 **Buckets** (儲存貯體) 清單中,選擇您要啟用 S3 儲存貯體金鑰的儲存貯體。
1. 選擇**屬性**索引標籤。
1. 在 **Default encryption (預設加密)** 底下,選擇 **Edit (編輯)**。
1. 在**預設加密**之下,針對**加密金鑰類型**選擇 **AWS Key Management Service 金鑰 (SSE-KMS)**。
1. 在 **AWS KMS 金鑰**之下,執行下列其中一個動作,以選擇 KMS 金鑰:
+ 若要從可用的 KMS 金鑰清單中選擇,請選擇**從中選擇 AWS KMS keys**,然後從可用的金鑰清單中選擇您的 **KMS** 金鑰。
AWS 受管金鑰 (`aws/s3`) 和您的客戶受管金鑰都會顯示在此清單中。如需客戶受管金鑰的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[客戶金鑰和 AWS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)。
+ 若要輸入 KMS 金鑰 ARN,請選擇**輸入 AWS KMS key ARN**,然後在出現的欄位中輸入您的 KMS 金鑰 ARN。
+ 若要在 AWS KMS 主控台中建立新的客戶受管金鑰,請選擇**建立 KMS 金鑰**。
如需建立 的詳細資訊 AWS KMS key,請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html)。
1. 在 **Bucket Key** (儲存貯體金鑰) 底下,選擇 **Enable** (啟用)。
1. 選擇 **Save changes** (儲存變更)。
Amazon S3 為新增至儲存貯體的新物件啟用 S3 儲存貯體金鑰。現有物件不使用 S3 儲存貯體金鑰。若要為現有物件設定 S3 儲存貯體金鑰,您可以使用 `CopyObject` 操作。如需詳細資訊,請參閱[在物件層級設定 S3 儲存貯體金鑰](configuring-bucket-key-object.md)。
若要停用 S3 儲存貯體金鑰,請依照上述步驟執行,然後選擇 **Disable (停用)**。
## 使用 REST API
您可以使用 [PutBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) 來為您的儲存貯體啟用或停用 S3 儲存貯體金鑰。若要使用 `PutBucketEncryption` 設定 S3 儲存貯體金鑰,請使用 [ServerSideEncryptionRule](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ServerSideEncryptionRule.html) 資料類型,其中包含具有 SSE-KMS 的預設加密。您也可以指定客戶受管金鑰的 KMS 金鑰 ID,選擇性地使用客戶受管金鑰。
如需詳細資訊和語法範例,請參閱 [PutBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)。
## 使用適用於 Java 的 AWS 開發套件
下列範例使用 適用於 Java 的 AWS SDK,以 SSE-KMS 和 S3 儲存貯體金鑰啟用預設儲存貯體加密。
------
#### [ Java ]
```
AmazonS3 s3client = AmazonS3ClientBuilder.standard()
.withRegion(Regions.DEFAULT_REGION)
.build();
ServerSideEncryptionByDefault serverSideEncryptionByDefault = new ServerSideEncryptionByDefault()
.withSSEAlgorithm(SSEAlgorithm.KMS);
ServerSideEncryptionRule rule = new ServerSideEncryptionRule()
.withApplyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
.withBucketKeyEnabled(true);
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration =
new ServerSideEncryptionConfiguration().withRules(Collections.singleton(rule));
SetBucketEncryptionRequest setBucketEncryptionRequest = new SetBucketEncryptionRequest()
.withServerSideEncryptionConfiguration(serverSideEncryptionConfiguration)
.withBucketName(bucketName);
s3client.setBucketEncryption(setBucketEncryptionRequest);
```
------
## 使用 AWS CLI
下列範例使用 AWS CLI,以 SSE-KMS 和 S3 儲存貯體金鑰啟用預設儲存貯體加密。以您自己的資訊取代 `user input placeholders`。
```
aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "KMS-Key-ARN"
},
"BucketKeyEnabled": true
}
]
}'
```
## 使用 CloudFormation
如需使用 設定 S3 儲存貯體金鑰的詳細資訊 CloudFormation,請參閱*AWS CloudFormation 《 使用者指南*》中的 [AWS::S3::Bucket ServerSideEncryptionRule](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket-serversideencryptionrule.html)。
# 在物件層級設定 S3 儲存貯體金鑰
當您使用 REST API、 AWS SDKs 或 執行 PUT 或 COPY 操作時 AWS CLI,您可以透過新增具有 `true`或 `false`值的`x-amz-server-side-encryption-bucket-key-enabled`請求標頭,在物件層級啟用或停用 S3 儲存貯體金鑰。S3 儲存貯體金鑰透過減少從 Amazon S3 到 的請求流量,減少使用 AWS Key Management Service (AWS KMS) (SSE-KMS) 的伺服器端加密成本 AWS KMS。如需詳細資訊,請參閱[使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)。
當您使用 PUT 或 COPY 操作為物件設定 S3 儲存貯體金鑰時,Amazon S3 只會更新該物件的設定。目的地儲存貯體的 S3 儲存貯體金鑰設定不會變更。如果您將 KMS 加密物件的 PUT 或 COPY 請求提交至啟用 S3 儲存貯體金鑰的儲存貯體,除非您停用請求標頭中的金鑰,否則物件層級操作將自動使用 S3 儲存貯體金鑰。如果您沒有為物件指定 S3 儲存貯體金鑰,Amazon S3 會將目的地儲存貯體的 S3 儲存貯體金鑰設定套用至物件。
**必要條件:**
將物件設定為使用 S3 儲存貯體金鑰之前,請先檢閱 [啟用 S3 儲存貯體金鑰之前,要注意的變更](bucket-key.md#bucket-key-changes)。
**Topics**
+ [
## Amazon S3 批次操作
](#bucket-key-object-bops)
+ [
## 使用 REST API
](#bucket-key-object-rest)
+ [
## 使用適用於 Java 的 AWS SDK (PutObject)
](#bucket-key-object-sdk)
+ [
## 使用 AWS CLI (PutObject)
](#bucket-key-object-cli)
## Amazon S3 批次操作
若要加密現有的 Amazon S3 物件,您可以使用 Amazon S3 批次操作。請提供 S3 批次操作可操作的物件清單,批次操作就會呼叫個別 API 來執行指定的操作。
您可以使用 [S3 批次操作複製操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/batch-ops-copy-object.html)來複製現有的未加密物件,並在相同的儲存貯體中寫入新的加密物件。單一批次操作任務可在數十億個物件上執行指定的操作。如需詳細資訊,請參閱「[使用 Batch Operations 大量執行物件操作](batch-ops.md)」和[使用 Amazon S3 批次操作來加密物件](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/)。
## 使用 REST API
當您使用 SSE-KMS 時,可以使用下列 API 操作為物件啟用 S3 儲存貯體金鑰:
+ [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) — 當您上傳物件時,您可以指定 `x-amz-server-side-encryption-bucket-key-enabled` 請求標頭,以在物件層級啟用或停用 S3 儲存貯體金鑰。
+ [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) — 當您複製物件並設定 SSE-KMS 時,您可以指定 `x-amz-server-side-encryption-bucket-key-enabled` 請求標頭,以啟用或停用物件的 S3 儲存貯體金鑰。
+ [POST 物件](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html) — 當您使用 `POST` 操作上傳物件並設定 SSE-KMS 時,您可以使用 `x-amz-server-side-encryption-bucket-key-enabled` 表單欄位來啟用或停用物件的 S3 儲存貯體金鑰。
+ [CreateMutlipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) — 當您使用 `CreateMultipartUpload` API 操作上傳大型物件並設定 SSE-KMS 時,您可以使用 `x-amz-server-side-encryption-bucket-key-enabled` 請求標頭來啟用或停用物件的 S3 儲存貯體金鑰。
若要在物件層級啟用 S3 儲存貯體金鑰,請包含 `x-amz-server-side-encryption-bucket-key-enabled` 請求標頭。如需有關 SSE-KMS 和 REST API 的詳細資訊,請參閱 [使用 REST API](specifying-kms-encryption.md#KMSUsingRESTAPI)。
## 使用適用於 Java 的 AWS SDK (PutObject)
您可以使用下列範例,使用 適用於 Java 的 AWS SDK在物件層級設定 S3 儲存貯體金鑰。
------
#### [ Java ]
```
AmazonS3 s3client = AmazonS3ClientBuilder.standard()
.withRegion(Regions.DEFAULT_REGION)
.build();
String bucketName = "amzn-s3-demo-bucket1";
String keyName = "key name for object";
String contents = "file contents";
PutObjectRequest putObjectRequest = new PutObjectRequest(bucketName, keyName, contents)
.withBucketKeyEnabled(true);
s3client.putObject(putObjectRequest);
```
------
## 使用 AWS CLI (PutObject)
您可以使用下列 AWS CLI 範例,在物件層級設定 S3 儲存貯體金鑰,做為`PutObject`請求的一部分。
```
aws s3api put-object --bucket amzn-s3-demo-bucket --key object key name --server-side-encryption aws:kms --bucket-key-enabled --body filepath
```
# 檢視 S3 儲存貯體金鑰的設定
您可以使用 Amazon S3 主控台、REST API、 AWS Command Line Interface (AWS CLI) 或 AWS SDKs,在儲存貯體或物件層級檢視 S3 儲存貯體金鑰的設定。 Amazon S3
S3 儲存貯體金鑰會使用 AWS Key Management Service (SSE-KMS) 減少從 Amazon S3 到 的請求流量, AWS KMS 並降低伺服器端加密的成本。如需詳細資訊,請參閱[使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)。
若要檢視儲存貯體或已從儲存貯體組態繼承 S3 儲存貯體金鑰設定之物件的 S3 儲存貯體金鑰設定,您需要執行 `s3:GetEncryptionConfiguration` 動作的許可。如需詳細資訊,請參閱 *Amazon Simple Storage Service API 參考*中的 [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)。
## 使用 S3 主控台
在 S3 主控台中,您可以查看儲存貯體或物件的 S3 儲存貯體金鑰設定。除非來源物件已設定 S3 儲存貯體金鑰,否則會從儲存貯體組態繼承 S3 儲存貯體金鑰設定。
同一儲存貯體中的物件和資料夾可以具有不同的 S3 儲存貯體金鑰設定。例如,如果您使用 REST API 上傳物件並為物件啟用 S3 儲存貯體金鑰,則物件會在目的地儲存貯體中保留其 S3 儲存貯體金鑰設定,即使已在目的地儲存貯體中停用 S3 儲存貯體金鑰。另一個範例,如果您為現有儲存貯體啟用 S3 儲存貯體金鑰,則儲存貯體中已存在的物件不會使用 S3 儲存貯體金鑰。但是,新物件啟用了 S3 儲存貯體金鑰。
**檢視儲存佇體的 S3 儲存貯體金鑰設定**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左側導覽窗格中,選擇 **Buckets** (儲存貯體)。
1. 在 **Buckets** (儲存貯體) 清單中,選擇您要啟用 S3 儲存貯體金鑰的儲存貯體。
1. 選擇 **Properties** (屬性)。
1. 在**預設加密**區段,**儲存貯體金鑰**底下,您會看到儲存貯體的 S3 儲存貯體金鑰設定。
如果您看不到 S3 儲存貯體金鑰設定,您可能沒有執行 `s3:GetEncryptionConfiguration` 動作的許可。如需詳細資訊,請參閱*《Amazon Simple Storage Service API 參考》*中的 [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)。
**檢視物件的 S3 儲存貯體金鑰設定**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在 **Buckets** (儲存貯體) 清單中,選擇您要啟用 S3 儲存貯體金鑰的儲存貯體。
1. 在 **Object (物件)** 清單中,選擇您的物件名稱。
1. 在 **Details (詳細資訊)**標籤的 **Server-side encrption settings (伺服器端加密設定)** 底下,選擇 **Edit (編輯)**。
在**儲存貯體金鑰**之下,您會看到物件的 S3 儲存貯體金鑰設定。您無法編輯此設定。
## 使用 AWS CLI
**傳回儲存貯體層級 S3 儲存貯體金鑰設定**
若要使用此範例,請以您自己的資訊取代每個 `user input placeholder`。
```
aws s3api get-bucket-encryption --bucket amzn-s3-demo-bucket1
```
如需詳細資訊,請參閱《AWS CLI 命令參考》**中的 [get-bucket-encryption](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-encryption.html)。
**傳回 S3 儲存貯體金鑰的物件層級設定**
若要使用此範例,請以您自己的資訊取代每個 `user input placeholder`。
```
aws s3api head-object --bucket amzn-s3-demo-bucket1 --key my_images.tar.bz2
```
如需詳細資訊,請參閱《AWS CLI 命令參考》**中的 [head-object](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/head-object.html)。
## 使用 REST API
**傳回儲存貯體層級 S3 儲存貯體金鑰設定**
若要傳回儲存貯體的加密資訊,包括 S3 儲存貯體金鑰的設定,請使用 `GetBucketEncryption` 操作。在具有 `BucketKeyEnabled` 設定的 `ServerSideEncryptionConfiguration` 元素中,會在回應內文傳回 S3 儲存貯體金鑰。如需詳細資訊,請參閱 *Amazon S3 API 參考*中的 [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)。
**傳回 S3 儲存貯體金鑰的物件層級設定**
若要傳回物件的 S3 儲存貯體金鑰狀態,請使用 `HeadObject` 操作。`HeadObject` 傳回 `x-amz-server-side-encryption-bucket-key-enabled` 回應標頭以顯示是否以為物件啟用或停用 S3 儲存貯體金鑰。如需詳細資訊,請參閱 *Amazon S3 API 參考*中的 [HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)。
如果已針對物件設定 S3 儲存貯體金鑰,則下列 API 操作也會傳回 `x-amz-server-side-encryption-bucket-key-enabled` 回應標頭:
+ [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [PostObject](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)
+ [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
+ [UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)