預設加密常見問答集

Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起，所有上傳到 Amazon S3 的新物件都會自動加密，無需額外費用，也不會影響效能。使用 256 位元進階加密標準 (AES-256) 的 SSE-S3 會自動套用至所有新的儲存貯體，以及套用至任何尚未設定預設加密的現有 S3 儲存貯體。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態會顯示於 AWS CloudTrail 日誌、S3 清查、S3 Storage Lens、Amazon S3 主控台，並做為 AWS Command Line Interface (AWS CLI) 和 AWS SDK 的其他 Amazon S3 API 回應標頭。

以下各節回答有關此更新的問題。

Amazon S3 是否會針對已設定預設加密的現有儲存貯體變更預設加密設定？

否。對於已設定 SSE-S3 或伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 的現有儲存貯體，預設加密設定不會有任何變更。如需如何設定儲存貯體預設加密行為的詳細資訊，請參閱 對 Amazon S3 儲存貯體設定預設伺服器端加密行為。如需 SSE-S3 和 SSE-KMS 加密設定的詳細資訊，請參閱 使用伺服器端加密保護資料。

是否會在未設定預設加密的現有儲存貯體上啟用預設加密？

是。Amazon S3 現在可在所有現有未加密的儲存貯體上設定預設加密，套用伺服器端加密與 S3 受管金鑰 (SSE-S3)，作為上傳至這些儲存貯體之新物件的基本加密層級。已存在於現有未加密儲存貯體中的物件將不會自動加密。

如何檢視新物件上傳的預設加密狀態？

目前，您可以在以下位置檢視新上傳物件的預設加密狀態：AWS CloudTrail 日誌、S3 清查、S3 Storage Lens、Amazon S3 主控台，並做為 AWS Command Line Interface (AWS CLI) 和 AWS SDK 的其他 Amazon S3 API 回應標頭。

我必須做什麼才能利用此變更？

您不需要對現有的應用程式進行任何變更。因為您的所有儲存貯體都已啟用預設加密，所有上傳到 Amazon S3 的新物件都會自動加密。

是否可以針對寫入至儲存貯體的新物件停用加密？

否。SSE-S3 是新的加密基本層級，適用於所有要上載至儲存貯體的新物件。您再也無法停用新物件上傳的加密。

我的費用是否會受到影響嗎？

否。搭配 SSE-S3 的預設加密可免費使用。我們會照常向您收取儲存、請求和其他 S3 功能的費用。如需定價，請參閱 Amazon S3 定價。

Amazon S3 是否會加密現有未加密的物件？

否。從 2023 年 1 月 5 日開始，Amazon S3 只會自動加密新物件上傳。若要加密現有物件，您可以使用 S3 Batch Operations 來建立物件的加密複本。這些加密複本將保留現有的物件資料和名稱，並將使用您指定的加密金鑰加密。如需詳細資訊，請參閱《AWS 儲存體部落格》中的使用 Amazon S3 Batch Operations 加密物件。

在此版本之前，我並未針對儲存貯體啟用加密。我是否需要變更存取物件的方式？

否。搭配 SSE-S3 的預設加密會在資料寫入 Amazon S3 時自動加密該資料，並在您存取該資料時為您將其解密。您存取自動加密物件的方式沒有變更。

我是否需要變更存取用戶端加密物件的方式？

否。上傳到 Amazon S3 之前已加密的所有用戶端加密物件都會在 Amazon S3 內以加密的密文物件形式送達。這些物件現在將會有另一層 SSE-S3 加密。使用用戶端加密物件的工作負載不需要對用戶端服務或授權設定進行任何變更。