使用加密來保護資料

重要

Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起，所有上傳到 Amazon S3 的新物件都會自動加密，無需額外費用，也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 儲存鏡頭、Amazon S3 主控台中使用，以及作為和 AWS 開發套件中的額外 Amazon S3 API 回應標頭。 AWS Command Line Interface 如需詳細資訊，請參閱預設加密常見問答集。

資料保護是指保護往返 Amazon S3 的傳輸中資料，以及存放在 Amazon S3 資料中心內磁碟的靜態資料。您可以使用 Secure Socket Layer/Transport Layer Security (SSL/TLS) 或用戶端加密，保護傳輸中的資料。下列選項皆可讓您保護 Amazon S3 中的靜態資料：

• 伺服器端加密 — Amazon S3 會先加密物件，然後再將物件儲存到 AWS 資料中心的磁碟上，然後在下載物件時解密物件。

  根據預設，所有 Amazon S3 儲存貯體都設定了加密，所有上傳到 S3 儲存貯體的新物件都會在靜態時自動加密。伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 是 Amazon S3 中每個儲存貯體的預設加密組態。若要使用不同類型的加密，您可以指定 S3 PUT 請求中要使用的伺服器端加密類型，也可以在目的地儲存貯體中設定預設加密組態。

  如果您想要在要PUT求中指定不同的加密類型，您可以使用伺服器端加密 () 金鑰 AWS Key Management Service (SSE-KMS AWS KMS)、使用金鑰的雙層伺服器端加密 (DSSE-KMS)，或使用客戶提供的金 AWS KMS 鑰 (SSE-C) 進行伺服器端加密。若您想在目的地儲存貯體中設定不同的預設加密組態，您可以使用 SSE-KMS 或 DSSE-KMS。

  如需伺服器端加密的每個選項的詳細資訊，請參閱 使用伺服器端加密保護資料。

  若要設定伺服器端加密，請參閱：

  • 使用 Amazon S3 受管金鑰 (SSE-S3) 指定伺服器端加密

  • 使用 AWS KMS (SSE-KMS) 指定伺服器端加密

  • 搭配 AWS KMS 金鑰 (DSSE-KMS) 指定雙層伺服器端加密

  • 使用客戶提供金鑰 (SSC-C) 指定伺服器端加密

• 用戶端加密 - 在用戶端加密資料，並將加密的資料上傳至 Amazon S3。在這種情況下，您可以管理加密程序、加密金鑰和相關工具。

  若要設定用戶端加密，請參閱 使用用戶端加密保護資料。

若要查看多少百分比的儲存體位元組已加密，您可以使用 Amazon S3 Storage Lens 指標。S3 Storage Lens 是一種雲端儲存體分析功能，您可以用來了解整個組織使用物件儲存體的情況及其活動情形。如需詳細資訊，請參閱使用 S3 Storage Lens 評估儲存活動和用量。如需完整的指標清單，請參閱 S3 Storage Lens 指標詞彙表。

如需伺服器端加密和用戶端加密的相關資訊，請檢閱下列主題。

主題

• 使用伺服器端加密保護資料
• 使用用戶端加密保護資料