本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 預設加密常見問答集 Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。使用 256 位元進階加密標準 (AES-256) 的 SSE-S3 會自動套用至所有新的儲存貯體,以及套用至任何尚未設定預設加密的現有 S3 儲存貯體。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS Command Line Interface (AWS CLI) 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。 以下各節回答有關此更新的問題。 **Amazon S3 是否會針對已設定預設加密的現有儲存貯體變更預設加密設定?** 否。已設定 SSE-S3 或伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 的現有儲存貯體的預設加密組態沒有變更。如需如何設定儲存貯體預設加密行為的詳細資訊,請參閱 [對 Amazon S3 儲存貯體設定預設伺服器端加密行為](bucket-encryption.md)。如需 SSE-S3 和 SSE-KMS 加密設定的詳細資訊,請參閱 [使用伺服器端加密保護資料](serv-side-encryption.md)。 **是否會在未設定預設加密的現有儲存貯體上啟用預設加密?** 是。Amazon S3 現在可在所有現有未加密的儲存貯體上設定預設加密,套用伺服器端加密與 S3 受管金鑰 (SSE-S3),作為上傳至這些儲存貯體之新物件的基本加密層級。已存在於現有未加密儲存貯體中的物件將不會自動加密。 **如何檢視新物件上傳的預設加密狀態?** 目前,您可以在 AWS CloudTrail 日誌、S3 清查和 S3 Storage Lens、Amazon S3 主控台,以及 AWS Command Line Interface (AWS CLI) 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中,檢視新物件上傳的預設加密狀態。 + 若要檢視您的 CloudTrail 事件,請參閱《AWS CloudTrail 使用者指南》**中的[在 CloudTrail 主控台中檢視 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html)。CloudTrail 日誌會針對 Amazon S3 提供 API 追蹤 `PUT` 和 `POST` 請求。當預設加密用來加密儲存貯體中的物件時,`PUT` 和 `POST` API 請求中的 CloudTrail 日誌將包含以下欄位作為名稱/值對:`"SSEApplied":"Default_SSE_S3"`。 + 若要檢視 S3 清查中新物件上傳的自動加密狀態,請將 S3 清查報告設定為包含 **Encryption** (加密) 的中繼資料欄位,然後在報告中查看每個新物件的加密狀態。如需詳細資訊,請參閱[設定 Amazon S3 清查](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configure-inventory.html#storage-inventory-setting-up)。 + 若要檢視 S3 Storage Lens 中新物件上傳的自動加密狀態,請設定 S3 Storage Lens 儀表板,並在儀表板的 **Data protection** (資料保護) 類別中查看 **Encrypted bytes** (加密位元組) 和 **Encrypted object count** (加密物件計數) 指標。如需詳細資訊,請參閱[使用 S3 主控台](storage_lens_creating_dashboard.md#storage_lens_console_creating)及[在儀表板上檢視 S3 Storage Lens 指標](storage_lens_view_metrics_dashboard.md)。 + 若要在 Amazon S3 主控台中檢視儲存貯體層級的自動加密狀態,請在 Amazon S3 主控台中檢查 Amazon S3 儲存貯體的**預設加密**。如需詳細資訊,請參閱[設定預設加密](default-bucket-encryption.md)。 + 若要在 AWS Command Line Interface (AWS CLI) 和 AWS SDKs 中將自動加密狀態檢視為額外的 Amazon S3 API 回應標頭,請在使用 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) 和 [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) 等物件動作 APIs `x-amz-server-side-encryption`時檢查回應標頭。 **我必須做什麼才能利用此變更?** 您不需要對現有的應用程式進行任何變更。因為您的所有儲存貯體都已啟用預設加密,所有上傳到 Amazon S3 的新物件都會自動加密。 **是否可以針對寫入至儲存貯體的新物件停用加密?** 否。SSE-S3 是新的加密基本層級,適用於所有要上載至儲存貯體的新物件。您再也無法停用新物件上傳的加密。 **我的費用是否會受到影響嗎?** 否。搭配 SSE-S3 的預設加密可免費使用。我們會照常向您收取儲存、請求和其他 S3 功能的費用。如需定價,請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。 **Amazon S3 是否會加密現有未加密的物件?** 否。從 2023 年 1 月 5 日開始,Amazon S3 只會自動加密新物件上傳。若要加密現有物件,您可以使用 S3 Batch Operations 來建立物件的加密複本。這些加密複本將保留現有的物件資料和名稱,並將使用您指定的加密金鑰加密。如需詳細資訊,請參閱《AWS 儲存體部落格》**中的[使用 Amazon S3 Batch Operations 加密物件](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/)。 **在此版本之前,我並未針對儲存貯體啟用加密。我是否需要變更存取物件的方式?** 否。搭配 SSE-S3 的預設加密會在資料寫入 Amazon S3 時自動加密該資料,並在您存取該資料時為您將其解密。您存取自動加密物件的方式沒有變更。 **我是否需要變更存取用戶端加密物件的方式?** 否。上傳到 Amazon S3 之前已加密的所有用戶端加密物件都會在 Amazon S3 內以加密的密文物件形式送達。這些物件現在將會有另一層 SSE-S3 加密。使用用戶端加密物件的工作負載不需要對用戶端服務或授權設定進行任何變更。 **注意** 未使用更新版本 AWS 提供者的 HashiCorp Terraform 使用者可能會在建立沒有客戶定義加密組態的新 S3 儲存貯體之後看到非預期的偏離。若要避免此偏離,請將您的 Terraform AWS Provider 版本更新為下列其中一個版本:任何4.x版本、 3.76.1或 2.70.4。