本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
登入 AWS Management Console 並開啟位於 https://Amazon S3 主控台。 https://console.aws.amazon.com/s3/
-
在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要在其中建立儲存貯體的區域。
注意
請選擇接近您的區域,以充分降低延遲及成本,並因應法規要求。除非您明確地將存放在區域中的物件傳輸到其他區域,否則物件絕對不會離開該區域。如需 Amazon S3 AWS 區域的清單,請參閱 中的AWS 服務 端點Amazon Web Services 一般參考。
-
在左側導覽窗格中,選擇目錄儲存貯體。
-
選擇 Create bucket (建立儲存貯體)。Create bucket (建立儲存貯體) 頁面隨即開啟。
-
在一般組態下,檢視要建立儲存貯 AWS 區域 體的 。
針對儲存貯體類型,選擇目錄。
注意
-
如果您已選擇不支援目錄儲存貯體的區域,儲存貯體類型選項會消失,且儲存貯體類型預設為一般用途儲存貯體。若要建立目錄儲存貯體,您必須選擇支援的區域。如需支援目錄儲存貯體和 Amazon S3 Express One Zone 儲存類別的區域清單,請參閱S3 Express One Zone 可用區域和區域。
-
在您建立儲存貯體之後,便無法變更儲存貯體類型。
注意
儲存貯體建立之後,就無法變更可用區域。
-
-
針對可用區域,選擇運算服務本機上的可用區域。如需支援目錄儲存貯體和 S3 Express One Zone 儲存類別的可用區域清單,請參閱S3 Express One Zone 可用區域和區域。
在可用區域下,選取核取方塊,表示您確實了解在可用區域發生中斷時,您的資料可能無法使用或遺失。
重要
雖然目錄儲存貯體會儲存在單一可用區域內的多部裝置,但不會以備援方式跨可用區域儲存資料。
-
針對儲存貯體名稱,輸入您的目錄儲存貯體的名稱。
目錄儲存貯體適用下列命名規則。
-
在所選區域內是唯一的 (AWS 可用區域或 AWS 本機區域)。
-
名稱長度必須介於 3 (最小值) 到 63 (最大值) 個字元之間,包括字尾在內。
-
只能由小寫字母、數字和連字號 (-) 組成。
-
開頭和結尾為字母或數字。
-
必須包含下列字尾:
--。zone-id--x-s3 -
儲存貯體名稱必須以字首
xn--開頭。 -
儲存貯體名稱必須以字首
sthree-開頭。 -
儲存貯體名稱必須以字首
sthree-configurator開頭。 -
儲存貯體名稱必須以字首
amzn-s3-demo-開頭。 -
儲存貯體名稱不得以尾碼
-s3alias結尾。存取點別名名稱會保留此尾碼。如需詳細資訊,請參閱存取點別名。 -
儲存貯體名稱不得以尾碼
--ol-s3結尾。Object Lambda 存取點別名名稱會保留此尾碼。如需詳細資訊,請參閱如何針對您的 S3 儲存貯體 Object Lambda 存取點使用儲存貯體樣式別名。 -
儲存貯體名稱不得以尾碼
.mrap結尾。多區域存取點名稱會保留此字尾。如需詳細資訊,請參閱命名 Amazon S3 多區域存取點的規則。
當您使用主控台建立目錄儲存貯體時,您提供的基本名稱會自動新增字尾。此字尾包含您所選擇可用區域的可用區域 ID。
建立儲存貯體後,便無法變更其名稱。如需儲存貯體命名的詳細資訊,請參閱 一般用途儲存貯體命名規則。
重要
請勿在儲存貯體名稱中包含敏感資訊,例如帳號。在指向儲存貯體中之物件的 URL 中,會顯示儲存貯體名稱。
-
-
在物件擁有權下,會自動啟用儲存貯體擁有者強制執行設定,並停用所有存取控制清單 (ACL)。您無法針對目錄儲存貯體啟用 ACL。
儲存貯體擁有者強制執行 (預設) - 停用 ACL,儲存貯體擁有者會自動擁有並完全控制儲存貯體中的每個物件。ACL 不再影響 S3 儲存貯體中資料的存取許可。儲存貯體單獨使用政策來定義存取控制。
-
在此儲存貯體的「封鎖公開存取」設定下,會自動啟用您目錄儲存貯體的所有封鎖公開存取設定。您無法修改目錄儲存貯體的這些設定。如需封鎖公開存取的詳細資訊,請參閱 封鎖對 Amazon S3 儲存體的公開存取權。
-
若要設定預設加密,請在加密類型下,選擇下列其中一項:
-
伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3)
-
伺服器端加密與 AWS Key Management Service 金鑰 (SSE-KMS)
如需有關使用 Amazon S3 伺服器端加密來加密資料的詳細資訊,請參閱「資料保護和加密」。
重要
如果您針對預設加密組態使用 SSE-KMS 選項,則受到 AWS KMS的每秒請求數目 (RPS) 限制。如需 AWS KMS 配額以及如何請求提高配額的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的配額。
啟用預設加密時,您可能需要更新儲存貯體政策。如需詳細資訊,請參閱針對跨帳戶操作使用 SSE-KMS 加密。
-
-
如果您選擇使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密,則會顯示儲存貯體金鑰下已啟用。當您將目錄儲存貯體設定為搭配 SSE-S3 使用預設加密時,一律會啟用 S3 儲存貯體金鑰。 SSE-S3 目錄儲存貯體中的
GET和PUT操作一律會啟用 S3 儲存貯體金鑰,且無法停用。當您透過 CopyObject、UploadPartCopy、Batch Operations 中的 Copy 操作或 import 作業,將 SSE-KMS 加密物件從一般用途儲存貯體複製到目錄儲存貯體、從目錄儲存貯體複製到一般用途儲存貯體或在目錄儲存貯體之間複製時,不支援 S3 儲存貯體金鑰。在此情況下,Amazon S3 AWS KMS 每次對 KMS 加密的物件提出複製請求時都會呼叫 。S3 儲存貯體金鑰透過減少從 Amazon S3 到 的請求流量來降低加密成本 AWS KMS。如需詳細資訊,請參閱使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本。
-
如果您選擇伺服器端加密搭配 AWS Key Management Service 金鑰 (SSE-KMS),請在 AWS KMS 金鑰下,以下列其中一種方式指定您的 AWS Key Management Service 金鑰,或建立新的金鑰。
-
若要從可用的 KMS 金鑰清單中選擇,請選擇從中選擇 AWS KMS keys,然後從可用的 AWS KMS keys中選擇您的 KMS 金鑰。
只有您的客戶受管金鑰會顯示在此清單中。目錄儲存貯體不支援 AWS 受管金鑰 (
aws/s3)。如需詳細了解客戶受管金鑰,請參閱《AWS Key Management Service 開發人員指南》中的客戶金鑰和 AWS 金鑰。 -
若要輸入 KMS 金鑰 ARN 或別名,請選擇輸入 AWS KMS key ARN,然後在 ARN 中輸入 KMS 金鑰 AWS KMS key ARN 或別名。
-
若要在 AWS KMS 主控台中建立新的客戶受管金鑰,請選擇建立 KMS 金鑰。
如需建立 的詳細資訊 AWS KMS key,請參閱《 AWS Key Management Service 開發人員指南》中的建立金鑰。
重要
您的 SSE-KMS 組態在儲存貯體的生命週期內,每個目錄儲存貯體只能支援 1 個客戶自管金鑰。不支援 AWS 受管金鑰 (
aws/s3)。此外,為 SSE-KMS 指定客戶自管金鑰之後,即無法覆寫儲存貯體 SSE-KMS 組態的客戶自管金鑰。您可以透過下列方式識別為儲存貯體的 SSE-KMS 組態指定的客戶自管金鑰:
您可以提出
HeadObjectAPI 操作請求,在回應中尋找x-amz-server-side-encryption-aws-kms-key-id的值。
若要為資料使用新的客戶自管金鑰,建議您使用新的客戶自管金鑰,將現有的物件複製到新的目錄儲存貯體。
您只能使用 AWS 區域 與儲存貯體相同的 KMS 金鑰。Amazon S3 主控台僅會列出與儲存貯體位於相同區域的前 100 個 KMS 金鑰。若要使用未列出的 KMS 金鑰,必須輸入 KMS 金鑰 ARN。若您想要使用其他帳戶的 KMS 金鑰,您必須先具有該金鑰的使用權限,然後輸入 KMS 金鑰 ARN。如需詳細了解 KMS 金鑰跨帳戶權限,請參閱《AWS Key Management Service 開發人員指南》中的建立其他帳戶可使用的 KMS 金鑰。如需 SSE-KMS 的詳細資訊,請參閱 為目錄儲存貯體中的新物件上傳指定使用 AWS KMS 的伺服器端加密 (SSE-KMS)。
當您在目錄儲存貯體中使用 AWS KMS key 進行伺服器端加密時,您必須選擇對稱加密 KMS 金鑰。Amazon S3 僅支援對稱加密 KMS 金鑰,而不支援非對稱 KMS 金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的識別對稱和非對稱 KMS 金鑰。
如需 AWS KMS 搭配 Amazon S3 使用 的詳細資訊,請參閱 在目錄儲存貯體中使用伺服器端加密與 AWS KMS 金鑰 (SSE-KMS)。
-
-
選擇建立儲存貯體。建立儲存貯體之後,您可以新增檔案和資料夾至儲存貯體。如需詳細資訊,請參閱使用目錄儲存貯體中的物件。
