本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
對 Amazon S3 儲存貯體設定預設伺服器端加密行為
重要
Amazon S3 現在會套用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3),作為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS Command Line Interface 和 中的其他 Amazon S3 API回應標頭中使用 AWS SDKs。如需詳細資訊,請參閱預設加密。 FAQ
所有 Amazon S3 儲存貯體都已預設設定加密,且物件會使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 自動加密。此加密設定適用於 Amazon S3 儲存貯體中的所有物件。
如果您需要對金鑰進行更多控制,例如管理金鑰輪換和存取政策授予,您可以選擇使用具有 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 的伺服器端加密,或使用 AWS KMS 金鑰 (DSSE-) 的雙層伺服器端加密KMS。如需編輯KMS金鑰的詳細資訊,請參閱 AWS Key Management Service 開發人員指南 中的編輯金鑰。
注意
我們已變更儲存貯體,以自動加密新物件上傳。如果您先前建立的儲存貯體沒有預設加密,Amazon S3 會使用 SSE-S3 預設啟用儲存貯體的加密。對於已SSE設定 SSE-S3 或 KMS- 的現有儲存貯體,預設加密組態不會有任何變更。如果您想要使用 SSE- 加密物件KMS,您必須在儲存貯體設定中變更加密類型。如需詳細資訊,請參閱使用伺服器端加密與 AWS KMS 金鑰 (SSE-KMS)。
當您將儲存貯體設定為搭配 SSE- 使用預設加密時KMS,您也可以啟用 S3 儲存貯體金鑰,以將 Amazon S3 的請求流量減少至 , AWS KMS 並降低加密成本。如需詳細資訊,請參閱SSE使用 Amazon S3 儲存貯體金鑰降低 KMS的成本。
若要識別已針對預設加密啟用 SSEKMS的儲存貯體,您可以使用 Amazon S3 Storage Lens 指標。S3 Storage Lens 是一種雲端儲存體分析功能,您可以用來了解整個組織使用物件儲存體的情況及其活動情形。如需詳細資訊,請參閱使用 S3 Storage Lens 保護資料。
當您使用伺服器端加密時,Amazon S3 會在將物件儲存到磁碟之前加密,並在下載物件時解密。如需使用伺服器端加密與加密金鑰管理來保護資料的詳細資訊,請參閱 使用伺服器端加密保護資料。
如需預設加密所需許可的詳細資訊,請參閱 PutBucketEncryption 在 Amazon Simple Storage Service API參考 中。
您可以使用 Amazon S3 主控台、、Amazon S3 和 AWS 命令列介面 REST ()API,為 S3Amazon S3儲存貯體設定 AWS SDKsAmazon S3 預設加密行為AWS CLI。
加密現有物件
若要加密現有的未加密 Amazon S3 物件,您可以使用 Amazon S3 批次操作。您會為 S3 Batch Operations 提供要操作的物件清單,而 Batch Operations 會呼叫各自的 API 來執行指定的操作。您可以使用批次操作複製操作來複製現有的未加密物件,並將其作為加密物件寫入相同的儲存貯體中。單一批次操作任務可在數十億個物件上執行指定的操作。如需詳細資訊,請參閱 使用批次操作大量執行物件操作 和 AWS 儲存部落格文章《使用 Amazon S3 批次操作加密物件
您也可以使用 CopyObject
API操作或 copy-object
AWS CLI 命令來加密現有的物件。如需詳細資訊,請參閱 AWS 儲存部落格文章《使用 AWS CLI加密現有的 Amazon S3 物件
注意
預設儲存貯體加密設定為 的 Amazon S3 儲存貯體 SSE-KMS 無法用作 的目的地儲存貯體使用伺服器存取記錄記錄要求。伺服器存取日誌目的地儲存貯體僅支援 SSE-S3 預設加密。
使用 SSE- KMS加密進行跨帳戶操作
對跨帳戶操作使用加密時,請注意下列事項:
-
如果未在請求時間或透過儲存貯體的預設加密組態提供 AWS KMS key Amazon Resource Name (ARN) 或別名,則會使用 AWS 受管金鑰 (
aws/s3
)。 -
如果您使用與 AWS 帳戶 KMS金鑰相同的 AWS Identity and Access Management (IAM) 主體來上傳或存取 S3 物件,您可以使用 AWS 受管金鑰 (
aws/s3
)。 -
如果您想要授予 S3 物件跨帳戶存取權,請使用客戶受管金鑰。您可以設定客戶受管金鑰的政策,以允許從另一個帳戶存取的權限。
-
如果您要指定客戶受管KMS金鑰,建議您使用完全合格的KMS金鑰 ARN。如果您改為使用KMS金鑰別名, 會 AWS KMS 解決請求者帳戶中的金鑰。此行為可能會導致資料使用屬於請求者而非儲存貯體擁有者的KMS金鑰加密。
-
您必須指定已授予您 (要求者) 已獲授予
Encrypt
許可的金鑰。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南 中的允許金鑰使用者使用KMS金鑰進行密碼編譯操作。
如需何時使用客戶受管金鑰和 AWS 受管KMS金鑰的詳細資訊,請參閱是否應該使用 AWS 受管金鑰 或客戶受管金鑰來加密 Amazon S3 中的物件?
搭配使用預設加密與複寫
在您啟用域複寫目的地儲存貯體的預設加密之後,適用下列加密行為:
-
如果未加密來源儲存貯體中的物件,則會使用目的地儲存貯體的預設加密設定來加密目的地儲存貯體中的複本物件。因此,來源物件的實體標籤 (ETags) 與複本物件ETags的 不同。如果您有使用 的應用程式ETags,您必須更新這些應用程式以考慮此差異。
-
如果來源儲存貯體中的物件透過使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3)、伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS),或雙層伺服器端加密搭配 AWS KMS 金鑰 (DSSE-KMS) 加密,則目的地儲存貯體中的複本物件會使用與來源物件相同的加密類型。不會使用目的地儲存貯體的預設加密設定。
如需搭配 SSE- 使用預設加密的詳細資訊KMS,請參閱 複寫加密的物件。
搭配使用 Amazon S3 儲存貯體金鑰和預設加密
當您將儲存貯體設定為使用 SSE-KMS 作為新物件的預設加密行為時,您也可以設定 S3 儲存貯體金鑰。S3 儲存貯體金鑰會將 Amazon S3 的交易數目減少為 AWS KMS ,以降低 SSE- 的成本KMS。
當您將儲存貯體設定為在新物件SSE上使用 的 S3 KMS儲存貯體金鑰時, AWS KMS 會產生儲存貯體層級金鑰,用於為儲存貯體中的物件建立唯一的資料金鑰。此 S3 儲存貯體金鑰在 Amazon S3 內使用一段時間,減少 Amazon S3 向 提出請求 AWS KMS 以完成加密操作的需要。
如需使用 S3 儲存貯體金鑰的詳細資訊,請參閱 使用 Amazon S3 儲存貯體金鑰。