使用伺服器端加密保護資料

重要

Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起，所有上傳到 Amazon S3 的新物件都會自動加密，無需額外費用，也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 儲存鏡頭、Amazon S3 主控台中使用，以及作為和 AWS 開發套件中的額外 Amazon S3 API 回應標頭。 AWS Command Line Interface 如需詳細資訊，請參閱預設加密常見問答集。

伺服器端加密是指接收資料的應用程式或服務在目的地將資料加密。Amazon S3 會在物件層級將資料寫入資料中心的磁碟時加密，並在您存取 AWS 資料時為您解密。只要您驗證要求並具備存取許可，存取加密物件或未加密物件的方式並無不同。例如，如果您使用預先簽章的 URL 來分享物件，加密物件與未加密物件的 URL 運作方式會相同。此外，當您列出儲存貯體中的物件時，清單 API 操作會傳回所有物件清單，無論其是否經過加密。

根據預設，所有 Amazon S3 儲存貯體都設定了加密，所有上傳到 S3 儲存貯體的新物件都會在靜態時自動加密。伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 是 Amazon S3 中每個儲存貯體的預設加密組態。若要使用不同類型的加密，您可以指定 S3 PUT 請求中要使用的伺服器端加密類型，也可以在目的地儲存貯體中設定預設加密組態。

如果您想要在要PUT求中指定不同的加密類型，您可以使用伺服器端加密 () 金鑰 AWS Key Management Service (SSE-KMS AWS KMS)、使用金鑰的雙層伺服器端加密 (DSSE-KMS)，或使用客戶提供的金 AWS KMS 鑰 (SSE-C) 進行伺服器端加密。若您想在目的地儲存貯體中設定不同的預設加密組態，您可以使用 SSE-KMS 或 DSSE-KMS。

注意

您不可以同時對同一個物件套用不同類型的伺服器端加密。

若您需要加密現有物件，請使用 S3 批次操作和 S3 清查。如需詳細資訊，請參閱使用 Amazon S3 批次操作來加密物件和 在 Amazon S3 物件上執行大規模批次操作。

根據您選擇管理加密金鑰的方式，以及您想套用的加密層級數量，針對伺服器端加密，您只能選擇下列四個選項之一。

使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密

根據預設，所有 Amazon S3 儲存貯體都設定了加密。伺服器端加密的預設為使用 Amazon S3 受管金鑰 (SSE-S3)。每個物件都使用不重複的金鑰加密。SSE-S3 使用定期輪換的根金鑰自行加密金鑰，提供額外的防護。SSE-S3 使用目前最強大的其中一種區塊加密法 (256 位元進階加密標準 (AES-256))，加密您的資料。如需詳細資訊，請參閱 使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密。

使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 進行伺服器端加密

伺服器端加密 AWS KMS keys (SSE-KMS) 是透過與 Amazon S3 整合的 AWS KMS 服務來提供。使用 AWS KMS，您可以更好地控制您的鑰匙。例如，您可以檢視個別金鑰、編輯控制政策，並遵循 AWS CloudTrail中的金鑰。此外，您可以建立和管理客戶受管金鑰，或是使用您、您服務和您區域唯一的 AWS 受管金鑰 。如需詳細資訊，請參閱 使用伺服器端加密搭配 AWS KMS 金鑰 (SSE-KMS)。

使用 AWS Key Management Service (AWS KMS) 金鑰 (DSSE-KMS) 進行雙層伺服器端加密

使用 AWS KMS keys (DSSE-KMS) 的雙層伺服器端加密與 SSE-KMS 類似，但是 DSSE-KMS 會套用兩個單獨的物件層級加密層，而不是單一層。由於兩層加密都套用至伺服器端的物件，因此您可以使用各種 AWS 服務 和工具來分析 S3 中的資料，同時使用可滿足合規需求的加密方法。如需詳細資訊，請參閱 搭配 AWS KMS 金鑰使用雙層伺服器端加密 (DSSE-KMS)。

使用客戶提供金鑰 (SSE-C) 的伺服器端加密

使用「伺服器端加密搭配客戶提供金鑰 (SSE-C)」時，您負責管理加密金鑰，而 Amazon S3 會在將物件寫入磁碟時進行加密，並在您存取物件時予以解密。如需詳細資訊，請參閱 搭配客戶提供的金鑰 (SSE-C) 使用伺服器端加密。