本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用伺服器端加密保護資料
重要
Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。 AWS CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS Command Line Interface 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中,提供 S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態。 S3 如需詳細資訊,請參閱預設加密常見問答集。
伺服器端加密是指接收資料的應用程式或服務在目的地將資料加密。Amazon S3 會在物件層級加密您的資料,因為它會寫入 AWS 資料中心的磁碟,並在您存取時將其解密。只要您驗證要求並具備存取許可,存取加密物件或未加密物件的方式並無不同。例如,如果您使用預先簽章的 URL 來分享物件,加密物件與未加密物件的 URL 運作方式會相同。此外,當您列出儲存貯體中的物件時,清單 API 操作會傳回所有物件清單,無論其是否經過加密。
根據預設,所有 Amazon S3 儲存貯體都設定了加密,所有上傳到 S3 儲存貯體的新物件都會在靜態時自動加密。伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 是 Amazon S3 中每個儲存貯體的預設加密組態。若要使用不同類型的加密,您可以指定 S3 PUT 請求中要使用的伺服器端加密類型,也可以在目的地儲存貯體中設定預設加密組態。
如果您想要在PUT請求中指定不同的加密類型,您可以使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)、雙層伺服器端加密搭配 AWS KMS 金鑰 (DSSE-KMS),或伺服器端加密搭配客戶提供的金鑰 (SSE-C)。若您想在目的地儲存貯體中設定不同的預設加密組態,您可以使用 SSE-KMS 或 DSSE-KMS。
注意
您不可以同時對同一個物件套用不同類型的伺服器端加密。
若您需要加密現有物件,請使用 S3 批次操作和 S3 清查。如需詳細資訊,請參閱使用 Amazon S3 批次操作來加密物件
根據您選擇管理加密金鑰的方式,以及您想套用的加密層級數量,針對伺服器端加密,您只能選擇下列四個選項之一。
使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密
根據預設,所有 Amazon S3 儲存貯體都設定了加密。伺服器端加密的預設為使用 Amazon S3 受管金鑰 (SSE-S3)。每個物件都使用不重複的金鑰加密。SSE-S3 使用定期輪換的根金鑰自行加密金鑰,提供額外的防護。SSE-S3 使用目前最強大的其中一種區塊加密法 (256 位元進階加密標準 (AES-256)),加密您的資料。如需詳細資訊,請參閱使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密。
伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)
使用 AWS KMS keys (SSE-KMS) 的伺服器端加密是透過 AWS KMS 服務與 Amazon S3 的整合提供。使用 AWS KMS,您可以更好地控制您的金鑰。例如,您可以檢視個別金鑰、編輯控制政策,並遵循 AWS CloudTrail中的金鑰。此外,您可以建立和管理客戶受管金鑰,或是使用您、您服務和您區域唯一的 AWS 受管金鑰 。如需詳細資訊,請參閱搭配 AWS KMS 金鑰使用伺服器端加密 (SSE-KMS)。
使用 AWS Key Management Service (AWS KMS) 金鑰的雙層伺服器端加密 (DSSE-KMS)
使用 AWS KMS keys (DSSE-KMS) 的雙層伺服器端加密與 SSE-KMS 類似,但 DSSE-KMS 套用兩個個別的物件層級加密,而不是一層。由於這兩個加密層都套用到伺服器端的物件,因此您可以使用各種 AWS 服務 和 工具來分析 S3 中的資料,同時使用符合您合規要求的加密方法。如需詳細資訊,請參閱使用雙層伺服器端加密搭配 AWS KMS 金鑰 (DSSE-KMS)。
使用客戶提供金鑰 (SSE-C) 的伺服器端加密
使用「伺服器端加密搭配客戶提供金鑰 (SSE-C)」時,您負責管理加密金鑰,而 Amazon S3 會在將物件寫入磁碟時進行加密,並在您存取物件時予以解密。如需詳細資訊,請參閱搭配客戶提供的金鑰 (SSE-C) 使用伺服器端加密。
