Amazon S3 中的数据加密

AWS Transfer Family 使用您为 Amazon S3 存储桶设置的默认加密选项来加密您的数据。如果对存储桶启用加密，则存储到该存储桶中的所有对象都会进行加密。这些对象使用服务器端加密，使用 Amazon S3 托管密钥 (SSE-S3) 或 () 托管密钥 AWS Key Management Service (SSE-KMS AWS KMS) 进行加密。有关服务器端加密的更多信息，请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据。

以下步骤向您展示如何加密中的数据 AWS Transfer Family。

允许加密 AWS Transfer Family

为存储桶启用默认加密。有关更多详细信息，请参阅《Amazon Simple Storage Service 用户指南》中的适用于 S3 存储桶的 Amazon S3 默认加密。
更新附加到用户的 AWS Identity and Access Management (IAM) 角色策略以授予所需的 AWS Key Management Service (AWS KMS) 权限。
如果您为用户使用会话策略，则会话策略必须授予所需的 AWS KMS 权限。

以下示例显示了一个 IAM 策略，该策略授予与启用 AWS KMS 加密的 Amazon S3 存储桶 AWS Transfer Family 一起使用时所需的最低权限。可以将此示例策略包含在用户 IAM 角色策略和范围缩小策略（如果您在使用）中。


{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}

注意

您在此策略中指定的 KMS 密钥 ID 必须与步骤 1 中为默认加密指定的密钥 ID 相同。

AWS KMS 密钥策略中必须允许根角色或用户使用的 IAM 角色。有关 AWS KMS 密钥策略的信息，请参阅AWS Key Management Service 开发人员指南中的在 AWS KMS 中使用密钥策略。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

数据保护

Transfer Family 中的密钥管理