使用加密來保護資料
重要
Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態會顯示於 AWS CloudTrail 日誌、S3 清查、S3 Storage Lens、Amazon S3 主控台,並做為 AWS Command Line Interface 和 AWS SDK 的其他 Amazon S3 API 回應標頭。如需詳細資訊,請參閱預設加密常見問答集。
資料保護是指保護往返 Amazon S3 的傳輸中資料,以及存放在 Amazon S3 資料中心內磁碟的靜態資料。您可以使用 Secure Socket Layer/Transport Layer Security (SSL/TLS) 或用戶端加密,保護傳輸中的資料。下列選項皆可讓您保護 Amazon S3 中的靜態資料:
-
伺服器端加密 - Amazon S3 會加密您的物件,再將該物件儲存至 AWS 資料中心內的磁碟,然後在下載物件時予以解密。
根據預設,所有 Amazon S3 儲存貯體都設定了加密,所有上傳到 S3 儲存貯體的新物件都會在靜態時自動加密。伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 是 Amazon S3 中每個儲存貯體的預設加密組態。若要使用不同類型的加密,您可以指定 S3
PUT請求中要使用的伺服器端加密類型,也可以在目的地儲存貯體中更新預設加密組態。若您想在
PUT請求中指定不同的加密類型,您可以使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 進行伺服器端加密、使用 AWS KMS 金鑰 (DSSE-KMS) 進行雙層伺服器端加密,或使用客戶提供的金鑰 (SSE-C) 進行伺服器端加密。若您想在目的地儲存貯體中設定不同的預設加密組態,您可以使用 SSE-KMS 或 DSSE-KMS。如需變更一般用途儲存貯體之預設加密組態的詳細資訊,請參閱 設定預設加密。
當您將儲存貯體的預設加密組態變更為 SSE-KMS 時,並不會變更儲存貯體中現有 Amazon S3 物件的加密類型。若要在將預設加密組態更新為 SSE-KMS 之後變更既有物件的加密類型,您可以使用 Amazon S3 Batch Operations。您為 S3 Batch Operations 提供物件清單,而批次操作會呼叫個別 API 操作。您可以使用 複製物件 動作來複製現有物件,該動作會將它們寫回與 SSE-KMS 加密物件相同的儲存貯體。單一批次操作任務可在數十億個物件上執行指定的操作。如需詳細資訊,請參閱 使用 Batch Operations 大量執行物件操作 和 AWS 儲存部落格文章如何使用 S3 庫存清單、Amazon Athena 和 S3 Batch Operations 來追溯加密 Amazon S3 中的現有物件
。 如需伺服器端加密的每個選項的詳細資訊,請參閱 使用伺服器端加密保護資料。
若要設定伺服器端加密,請參閱:
-
用戶端加密 - 在用戶端加密資料,並將加密的資料上傳至 Amazon S3。在這種情況下,您可以管理加密程序、加密金鑰和相關工具。
若要設定用戶端加密,請參閱 使用用戶端加密保護資料。
若要查看多少百分比的儲存體位元組已加密,您可以使用 Amazon S3 Storage Lens 指標。S3 Storage Lens 是一種雲端儲存體分析功能,您可以用來了解整個組織使用物件儲存體的情況及其活動情形。如需詳細資訊,請參閱使用 S3 Storage Lens 評估儲存活動和用量。如需完整的指標清單,請參閱 S3 Storage Lens 指標詞彙表。
如需伺服器端加密和用戶端加密的相關資訊,請檢閱下列主題。
