Amazon S3 現在會自動加密所有新物件 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3 現在會自動加密所有新物件

Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。使用 256 位元進階加密標準 (AES-256) 的 SSE-S3 會自動套用至所有新的儲存貯體,以及套用至任何尚未設定預設加密的現有 S3 儲存貯體。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可用於 AWS CloudTrail 日誌、S3 庫存、S3 儲存鏡頭、Amazon S3 主控台,以及 AWS Command Line Interface (AWS CLI) 和 AWS 開發套件中的額外 Amazon S3 API 回應標頭。

以下各節回答有關此更新的問題。

Amazon S3 是否會針對已設定預設加密的現有儲存貯體變更預設加密設定?

沒有 對於已設定 SSE-S3 或伺服器端加密且已設定 () 金鑰 AWS Key Management Service (SSE-KMS AWS KMS) 的現有儲存貯體,預設加密組態沒有變更。如需如何設定儲存貯體預設加密行為的詳細資訊,請參閱 對 Amazon S3 儲存貯體設定預設伺服器端加密行為。如需 SSE-S3 和 SSE-KMS 加密設定的詳細資訊,請參閱 使用伺服器端加密保護資料

是否會在未設定預設加密的現有儲存貯體上啟用預設加密?

是。Amazon S3 現在可在所有現有未加密的儲存貯體上設定預設加密,套用伺服器端加密與 S3 受管金鑰 (SSE-S3),作為上傳至這些儲存貯體之新物件的基本加密層級。已存在於現有未加密儲存貯體中的物件將不會自動加密。

如何檢視新物件上傳的預設加密狀態?

目前,您可以在 AWS CloudTrail 日誌、S3 庫存和 S3 儲存鏡頭、Amazon S3 主控台中檢視新物件上傳的預設加密狀態,以及 AWS Command Line Interface (AWS CLI) 和 AWS 開發套件中的其他 Amazon S3 API 回應標頭。

  • 若要檢視您的 CloudTrail 事件,請參AWS CloudTrail 使用指南中的在 CloudTrail 主控台中檢視 CloudTrail 事件。 CloudTrail 日誌可為 Amazon S3 提供 API 追蹤,以PUT及傳POST送給 Amazon S3 的請求。當使用預設加密來加密值區中的物件時,PUTPOST API 要求的 CloudTrail 記錄會包含下列欄位做為名稱-值配對:。"SSEApplied":"Default_SSE_S3"

  • 若要檢視 S3 清查中新物件上傳的自動加密狀態,請將 S3 清查報告設定為包含 Encryption (加密) 的中繼資料欄位,然後在報告中查看每個新物件的加密狀態。如需詳細資訊,請參閱設定 Amazon S3 清查

  • 若要檢視 S3 Storage Lens 中新物件上傳的自動加密狀態,請設定 S3 Storage Lens 儀表板,並在儀表板的 Data protection (資料保護) 類別中查看 Encrypted bytes (加密位元組) 和 Encrypted object count (加密物件計數) 指標。如需詳細資訊,請參閱 建立 Amazon S3 Storage Lens 儀表板在儀表板上檢視 S3 Storage Lens 指標

  • 若要在 Amazon S3 主控台中檢視儲存貯體層級的自動加密狀態,請在 Amazon S3 主控台中檢查 Amazon S3 儲存貯體的預設加密。如需詳細資訊,請參閱 設定預設加密

  • 若要在 () 和 AWS 開發套件中檢視為其他 Amazon S3 API 回應標頭的自動加密狀態,請在使用物件動作 API AWS Command Line Interface (例如PutObject和AWS CLIGetObject) x-amz-server-side-encryption 時檢查回應標頭。

我必須做什麼才能利用此變更?

您不需要對現有的應用程式進行任何變更。因為您的所有儲存貯體都已啟用預設加密,所有上傳到 Amazon S3 的新物件都會自動加密。

是否可以針對寫入至儲存貯體的新物件停用加密?

否。SSE-S3 是新的加密基本層級,適用於所有要上載至儲存貯體的新物件。您再也無法停用新物件上傳的加密。

我的費用是否會受到影響嗎?

否。搭配 SSE-S3 的預設加密可免費使用。我們會照常向您收取儲存、請求和其他 S3 功能的費用。如需定價,請參閱 Amazon S3 定價

Amazon S3 是否會加密現有未加密的物件?

否。從 2023 年 1 月 5 日開始,Amazon S3 只會自動加密新物件上傳。若要加密現有物件,您可以使用 S3 Batch Operations 來建立物件的加密複本。這些加密複本將保留現有的物件資料和名稱,並將使用您指定的加密金鑰加密。如需詳細資訊,請參閱《AWS 儲存體部落格》中的使用 Amazon S3 Batch Operations 加密物件

在此版本之前,我並未針對儲存貯體啟用加密。我是否需要變更存取物件的方式?

否。搭配 SSE-S3 的預設加密會在資料寫入 Amazon S3 時自動加密該資料,並在您存取該資料時為您將其解密。您存取自動加密物件的方式沒有變更。

我是否需要變更存取用戶端加密物件的方式?

否。上傳到 Amazon S3 之前已加密的所有用戶端加密物件都會在 Amazon S3 內以加密的密文物件形式送達。這些物件現在將會有另一層 SSE-S3 加密。使用用戶端加密物件的工作負載不需要對用戶端服務或授權設定進行任何變更。

注意

HashiCorp 在建立沒有客戶定義加密組態的新 S3 儲存貯體後,未使用 AWS 提供者更新版本的 Terraform 使用者可能會看到意外的漂移。若要避免這種偏差,請將您的 Terraform AWS 提供者版本更新為下列其中一個版本:任何4.x發行版本3.76.1、或。2.70.4