如何为 Amazon S3 存储桶启用默认加密? - Amazon Simple Storage Service

如何为 Amazon S3 存储桶启用默认加密?

Amazon S3 默认加密提供了一种方法来设置 Amazon S3 存储桶的默认加密行为。您可以对存储桶设置默认加密,以便在存储桶中存储所有对象时对这些对象进行加密。这些对象使用具有 Amazon S3 托管密钥的服务器端加密 (SSE-S3) 或具有 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK) 的服务器端加密进行加密。

在使用服务器端加密时,Amazon S3 在将对象保存到其数据中心的磁盘上之前对其进行加密,并在下载对象时对其进行解密。有关使用服务器端加密和加密密钥管理来保护数据的更多信息,请参阅Amazon Simple Storage Service 开发人员指南中的使用服务器端加密保护数据

默认加密适用于所有现有的和新的 Amazon S3 存储桶。如果没有默认加密,要对存储在存储桶中的所有对象进行加密,您必须包括加密信息与每个对象存储请求。您还必须设置 Amazon S3 存储桶策略以拒绝不包含加密信息的存储请求。

对 S3 存储桶使用默认加密不会产生新的费用。请求配置默认加密功能会产生标准 Amazon S3 请求费用。有关定价的信息,请参阅 Amazon S3 定价。对于 SSE-KMS CMK 存储,将会产生 AWS KMS 费用,这些费用在 AWS KMS 定价中列出。

对 Amazon S3 存储桶启用默认加密

  1. 登录 AWS 管理控制台并通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. Bucket name (存储桶名称) 列表中,选择所需的存储桶的名称。

    
          存储桶名称列表的屏幕截图,其中突出显示了存储桶名称。
  3. 选择属性

    
          已选择“Properties (属性)”选项卡的页面选项卡的屏幕截图。
  4. 选择 Default encryption

    
          默认加密选项的屏幕截图。
  5. 如果要使用由 Amazon S3 管理的密钥进行默认加密,请选择 AES-256,然后选择 Save (保存)

    有关使用 Amazon S3 服务器端加密对数据进行加密的更多信息,请参阅Amazon Simple Storage Service 开发人员指南中的使用 Amazon S3 托管加密密钥保护数据

    
              已选择“AES-256”的默认加密屏幕。
    重要

    在启用默认加密时,您可能需要更新存储桶策略。有关更多信息,请参阅Amazon Simple Storage Service 开发人员指南中的从使用存储桶策略执行加密转至默认加密

  6. 如果要使用存储在 AWS KMS 中的 CMK 进行默认加密,请按照下列步骤操作:

    1. 选择 AWS-KMS

    2. 要选择您创建的客户托管 AWS KMS CMK,请使用以下方法之一:

      • 在显示的列表中,选择 AWS KMS CMK。

      • 在显示的列表中,选择 Custom KMS ARN (自定义 KMS ARN),然后输入 AWS KMS CMK 的 Amazon 资源名称。

      重要

      在 Amazon S3 中将 AWS KMS CMK 用于服务器端加密时,必须选择对称 CMK。Amazon S3 只支持对称 CMK,而不支持非对称 CMK。有关更多信息,请参阅 AWS Key Management Service 开发人员指南 中的使用对称和非对称密钥

      
              已选择 AWS KMS 的默认加密屏幕和包含 CMK 名称的下拉列表。
    重要

    如果您将 AWS KMS 选项用于默认加密配置,则您将受到 AWS KMS 的 RPS(每秒请求数)限制。有关 AWS KMS 限制以及如何请求提高限制的更多信息,请参阅 AWS KMS 限制

    有关创建 AWS KMS CMK 的更多信息,请参阅AWS Key Management Service Developer Guide中的创建密钥。有关将 AWS KMS 用于 Amazon S3 的更多信息,请参阅Amazon Simple Storage Service 开发人员指南中的使用 AWS KMS 中存储的密钥保护数据

  7. 选择 Save

更多信息