本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將儲存貯體設定為將 S3 儲存貯體金鑰與 SSE-KMS 用於新物件
當您使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 設定伺服器端加密時,您可以將儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰。S3 儲存貯體金鑰可減少從 Amazon S3 到 的請求流量, AWS KMS 並降低 SSE-KMS 的成本。如需詳細資訊,請參閱使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本。
您可以使用 Amazon S3 主控台、SSE Word、KMS、 AWS Command Line Interface (AWS CLI) 或 ,將儲存貯體設定為在新物件上使用 REST- AWS SDKs 的 Amazon S3 儲存貯API金鑰 AWS CloudFormation。如果您想要啟用或停用現有物件的 S3 儲存貯體金鑰,可以使用 CopyObject 操作。如需詳細資訊,請參閱 在物件層級設定 S3 儲存貯體金鑰 與 使用批次操作為 SSE-KMS 啟用 S3 儲存貯體金鑰。
當來源或目的地儲存貯體啟用 S3 儲存貯體金鑰時,加密內容將是儲存貯體 Amazon Resource Name (ARN),而不是物件 ARN,例如 arn:aws:s3:::。您需要更新 IAM 政策,才能將儲存貯體 ARN 用於加密內容。如需詳細資訊,請參閱S3 儲存貯體金鑰和複寫。bucket_ARN
下列範例說明 S3 儲存貯體金鑰如何與複寫搭配使用。如需詳細資訊,請參閱複寫加密物件 (SSE-S3、SSE-KMS、DSSE-KMS、SSE-C)。
必要條件
在您將儲存貯體設定為使用 S3 儲存貯體金鑰之前,請先檢閱 啟用 S3 儲存貯體金鑰之前,要注意的變更。
主題
在 S3 主控台中,您可以啟用或停用新的或現有儲存貯體的 S3 儲存貯體金鑰。S3 主控台中的物件會從儲存貯體組態繼承其 S3 儲存貯體金鑰設定。當您為儲存貯體啟用 S3 儲存貯體金鑰時,您上傳至儲存貯體的新物件會使用 SSE-KMS 的 S3 儲存貯體金鑰。
在啟用 S3 儲存貯體金鑰的儲存貯體中上傳、複製或修改物件
如果您在已啟用 S3 儲存貯體金鑰的儲存貯體中上傳、修改或複製物件,則該物件的 S3 儲存貯體金鑰設定可能會更新以符合儲存貯體組態。
如果物件已啟用 S3 儲存貯體金鑰,則在您複製或修改物件時,該物件的 S3 儲存貯體金鑰設定不會變更。但是,如果您修改或複製未啟用 S3 儲存貯體金鑰的物件,且目的地儲存貯體具有 S3 儲存貯體金鑰組態,則物件會繼承目的地儲存貯體的 S3 儲存貯體金鑰設定。例如,如果您的來源物件沒有啟用 S3 儲存貯體金鑰,但目的地儲存貯體已啟用 S3 儲存貯體金鑰,則將為該物件啟用 S3 儲存貯體金鑰。
在建立新儲存貯體時啟用 S3 儲存貯體金鑰
登入 AWS Management Console 並在 Word 開啟 Amazon S3 主控台。 https://console.aws.amazon.com/s3/
-
在左側導覽窗格中,選擇 Buckets (儲存貯體)。
-
選擇建立儲存貯體。
-
輸入您的儲存貯體名稱,然後選擇您的 AWS 區域。
-
在預設加密下,針對加密金鑰類型,選擇AWS Key Management Service 金鑰 (SSE-KMS)。
-
在AWS KMS 金鑰下,執行下列其中一項操作來選擇您的 KMS 金鑰:
-
若要從可用 KMS 金鑰清單中選擇,請選擇從 中選擇 AWS KMS keys,然後從可用金鑰清單中選擇您的 KMS 金鑰。
AWS 受管金鑰 (
aws/s3) 和您的客戶受管金鑰都會顯示在此清單中。如需客戶受管金鑰的詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的客戶金鑰和 AWS 金鑰。 -
若要輸入 KMS 金鑰 ARN,請選擇輸入 AWS KMS key ARN,然後在出現的欄位中輸入您的 KMS 金鑰 ARN。
-
若要在 AWS KMS 主控台中建立新的客戶受管金鑰,請選擇建立 KMS 金鑰。
如需建立 的詳細資訊 AWS KMS key,請參閱 AWS Key Management Service 開發人員指南中的建立金鑰。
-
-
在 Bucket Key (儲存貯體金鑰) 底下,選擇 Enable (啟用)。
-
選擇 Create bucket (建立儲存貯體)。
Amazon S3 會在啟用 S3 儲存貯體金鑰的情況下建立您的儲存貯體。您上傳到儲存貯體的新物件將使用 S3 儲存貯體金鑰。
若要停用 S3 儲存貯體金鑰,請依照上述步驟執行,然後選擇 Disable (停用)。
為現有儲存貯體啟用 S3 儲存貯體金鑰
在 Word 開啟 Amazon S3 主控台。 https://console.aws.amazon.com/s3/
-
在左側導覽窗格中,選擇 Buckets (儲存貯體)。
-
在 Buckets (儲存貯體) 清單中,選擇您要啟用 S3 儲存貯體金鑰的儲存貯體。
-
選擇屬性索引標籤。
-
在 Default encryption (預設加密) 底下,選擇 Edit (編輯)。
-
在預設加密下,針對加密金鑰類型,選擇AWS Key Management Service 金鑰 (SSE-KMS)。
-
在AWS KMS 金鑰下,執行下列其中一項操作來選擇您的 KMS 金鑰:
-
若要從可用 KMS 金鑰清單中選擇,請選擇從 中選擇 AWS KMS keys,然後從可用金鑰清單中選擇您的 KMS 金鑰。
AWS 受管金鑰 (
aws/s3) 和您的客戶受管金鑰都會顯示在此清單中。如需客戶受管金鑰的詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的客戶金鑰和 AWS 金鑰。 -
若要輸入 KMS 金鑰 ARN,請選擇輸入 AWS KMS key ARN,然後在出現的欄位中輸入您的 KMS 金鑰 ARN。
-
若要在 AWS KMS 主控台中建立新的客戶受管金鑰,請選擇建立 KMS 金鑰。
如需建立 的詳細資訊 AWS KMS key,請參閱 AWS Key Management Service 開發人員指南中的建立金鑰。
-
-
在 Bucket Key (儲存貯體金鑰) 底下,選擇 Enable (啟用)。
-
選擇 Save changes (儲存變更)。
Amazon S3 為新增至儲存貯體的新物件啟用 S3 儲存貯體金鑰。現有物件不使用 S3 儲存貯體金鑰。若要為現有物件設定 S3 儲存貯體金鑰,您可以使用
CopyObject操作。如需詳細資訊,請參閱在物件層級設定 S3 儲存貯體金鑰 。若要停用 S3 儲存貯體金鑰,請依照上述步驟執行,然後選擇 Disable (停用)。
您可以使用 PutBucketEncryption 來啟用或停用儲存貯體的 S3 儲存貯體金鑰。若要使用 設定 S3 儲存貯體金鑰PutBucketEncryption,請使用 ServerSideEncryptionRule 資料類型,其中包含使用 SSE-KMS 的預設加密。您也可以選擇性地使用客戶受管金鑰,方法是指定客戶受管金鑰的 KMS 金鑰 ID。
如需詳細資訊和語法範例,請參閱 PutBucketEncryption。
下列範例使用 啟用 SSE-KMS 和 S3 儲存貯體金鑰的預設儲存貯體加密 AWS SDK for Java。
下列範例使用 啟用 SSE-KMS 和 S3 儲存貯體金鑰的預設儲存貯體加密 AWS CLI。以您自己的資訊取代 user input
placeholders
aws s3api put-bucket-encryption --bucketamzn-s3-demo-bucket--server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "KMS-Key-ARN" }, "BucketKeyEnabled": true } ] }'
如需使用 設定 S3 儲存貯體金鑰的詳細資訊 AWS CloudFormation,請參閱 AWS CloudFormation 使用者指南中的 AWS::S3::Bucket ServerSideEncryptionRule。
