在物件層級設定 S3 儲存貯體金鑰 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在物件層級設定 S3 儲存貯體金鑰

當您使用 REST API、 AWS 開發套件執行 PUT 或 COPY 作業時 AWS CLI,您可以在物件層級啟用或停用 S3 儲存貯體金鑰,方法是使用truefalse值新增x-amz-server-side-encryption-bucket-key-enabled要求標頭。S3 儲存貯體金鑰透過將 Amazon S3 的請求流量減少到使用 AWS Key Management Service (AWS KMS) (SSE-KMS) 來降低伺服器端加密的成本。 AWS KMS如需詳細資訊,請參閱 使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本

當您使用 PUT 或 COPY 操作為物件設定 S3 儲存貯體金鑰時,Amazon S3 只會更新該物件的設定。目的地儲存貯體的 S3 儲存貯體金鑰設定不會變更。如果您將 KMS 加密物件的 PUT 或 COPY 請求提交至啟用 S3 儲存貯體金鑰的儲存貯體,除非您停用請求標頭中的金鑰,否則物件層級操作將自動使用 S3 儲存貯體金鑰。如果您沒有為物件指定 S3 儲存貯體金鑰,Amazon S3 會將目的地儲存貯體的 S3 儲存貯體金鑰設定套用至物件。

必要條件:

將物件設定為使用 S3 儲存貯體金鑰之前,請先檢閱 啟用 S3 儲存貯體金鑰之前,要注意的變更

Amazon S3 批次操作

若要加密現有的 Amazon S3 物件,您可以使用 Amazon S3 批次操作。請提供 S3 批次操作可操作的物件清單,批次操作就會呼叫個別 API 來執行指定的操作。

您可以使用 S3 批次操作複製操作來複製現有的未加密物件,並在相同的儲存貯體中寫入新的加密物件。單一批次操作任務可在數十億個物件上執行指定的操作。如需詳細資訊,請參閱「在 Amazon S3 物件上執行大規模批次操作」和使用 Amazon S3 批次操作來加密物件

使用 REST API

當您使用 SSE-KMS 時,可以使用下列 API 操作為物件啟用 S3 儲存貯體金鑰:

  • PutObject— 上傳物件時,您可以指定x-amz-server-side-encryption-bucket-key-enabled要求標頭,以在物件層級啟用或停用 S3 儲存貯體金鑰。

  • CopyObject— 複製物件並設定 SSE-KMS 時,您可以指定x-amz-server-side-encryption-bucket-key-enabled要求標頭來啟用或停用物件的 S3 儲存貯體金鑰。

  • POST 物件 — 當您使用 POST 操作上傳物件並設定 SSE-KMS 時,您可以使用 x-amz-server-side-encryption-bucket-key-enabled 表單欄位來啟用或停用物件的 S3 儲存貯體金鑰。

  • CreateMultipartUpload— 當您使用 CreateMultipartUpload API 作業上傳大型物件並設定 SSE-KMS 時,您可以使用x-amz-server-side-encryption-bucket-key-enabled要求標頭為物件啟用或停用 S3 儲存貯體金鑰。

若要在物件層級啟用 S3 儲存貯體金鑰,請包含 x-amz-server-side-encryption-bucket-key-enabled 請求標頭。如需有關 SSE-KMS 和 REST API 的詳細資訊,請參閱 使用 REST API

使用適用 AWS SDK for Java (PutObject)

您可以使用下列範例,使用 AWS SDK for Java在物件層級設定 S3 儲存貯體金鑰。

Java
AmazonS3 s3client = AmazonS3ClientBuilder.standard()     .withRegion(Regions.DEFAULT_REGION)     .build(); String bucketName = "DOC-EXAMPLE-BUCKET1"; String keyName = "key name for object"; String contents = "file contents"; PutObjectRequest putObjectRequest = new PutObjectRequest(bucketName, keyName, contents)     .withBucketKeyEnabled(true);      s3client.putObject(putObjectRequest);

使用 AWS CLI (PutObject)

您可以使用下列 AWS CLI 範例在物件層級設定 S3 儲存貯體金鑰,做為PutObject請求的一部分。

aws s3api put-object --bucket DOC-EXAMPLE-BUCKET --key object key name --server-side-encryption aws:kms --bucket-key-enabled --body filepath