搭配 AWS KMS 金鑰 (DSSE-KMS) 指定雙層伺服器端加密

重要

Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起，所有上傳到 Amazon S3 的新物件都會自動加密，無需額外費用，也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 儲存鏡頭、Amazon S3 主控台中使用，以及作為和 AWS 開發套件中的額外 Amazon S3 API 回應標頭。 AWS Command Line Interface 如需詳細資訊，請參閱預設加密常見問答集。

根據預設，所有 Amazon S3 儲存貯體都設定了加密，所有上傳到 S3 儲存貯體的新物件都會在靜態時自動加密。伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 是 Amazon S3 中每個儲存貯體的預設加密組態。若要使用不同類型的加密，您可以指定 S3 PUT 請求中要使用的伺服器端加密類型，也可以在目的地儲存貯體中設定預設加密組態。

如果您想要在要PUT求中指定不同的加密類型，您可以使用伺服器端加密 () 金鑰 AWS Key Management Service (SSE-KMS AWS KMS)、使用金鑰的雙層伺服器端加密 (DSSE-KMS)，或使用客戶提供的金 AWS KMS 鑰 (SSE-C) 進行伺服器端加密。若您想在目的地儲存貯體中設定不同的預設加密組態，您可以使用 SSE-KMS 或 DSSE-KMS。

上傳新物件或複製現有物件時，您都可以套用加密。

您可以使用 Amazon S3 主控台、Amazon S3 REST API 和 AWS Command Line Interface (AWS CLI) 來指定 DSSE-KMS。如需詳細資訊，請參閱下列主題。

注意

您可以 AWS KMS keys 在 Amazon S3 中使用多區域。但是，Amazon S3 目前將多區域金鑰視為單區域金鑰，並且不使用金鑰的多區域功能。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰。

注意

若您想要使用其他帳戶的 KMS 金鑰，您必須具有該金鑰的使用權限。如需詳細了解 KMS 金鑰跨帳戶權限，請參閱《AWS Key Management Service 開發人員指南》中的建立其他帳戶可使用的 KMS 金鑰。

使用 S3 主控台

本節說明如何使用 Amazon S3 主控台設定或變更物件的加密類型，以使用含 AWS Key Management Service (AWS KMS) 金鑰 (DSSE-KMS) 的雙層伺服器端加密。

注意

• 如果您變更物件的加密方式，則會建立新物件來取代舊物件。如果啟用 S3 版本控制，則系統會建立物件的新版本，且現有物件會變成較舊的版本。變更屬性的角色也會成為新物件 (或物件版本) 的擁有者。

• 如果您變更具有使用者定義標籤之物件的加密類型，您必須擁有s3:GetObjectTagging權限。如果您要變更沒有使用者定義標籤但大小超過 16 MB 的物件的加密類型，您也必須擁有s3:GetObjectTagging權限。

  如果目的地儲存貯體政策拒絕該s3:GetObjectTagging動作，則會更新物件的加密類型，但使用者定義的標籤會從物件中移除，而且您會收到錯誤訊息。

新增或變更物件的加密

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側導覽窗格中，選擇 Buckets (儲存貯體)。

3. 在儲存貯體清單中，選擇儲存貯體的名稱，其中包含您要加密的物件。

4. 在物件清單中，選取您欲新增或變更加密的物件核取方塊。

   系統會顯示物件的詳細資訊頁面，其中包含數個區段，顯示物件的屬性。

5. 選擇屬性索引標籤。

6. 向下捲動至預設加密區段，然後選擇編輯。

   編輯預設加密頁面隨即開啟。

7. 在 [加密類型] 下，選擇 [含 AWS Key Management Service 金鑰的雙層伺服器端加密 (DSSE- KMS)]。

8. 在 AWS KMS 金鑰之下，執行下列其中一個動作，以選擇 KMS 金鑰：

   • 若要從可用的 KMS 金鑰清單中選擇，請選擇從 AWS KMS keys中選擇，然後從可用金鑰清單中選擇您的 KMS 金鑰。

     AWS 受管金鑰 (aws/s3) 和您的客戶管理金鑰都會出現在此清單中。如需詳細了解客戶受管金鑰，請參閱《AWS Key Management Service 開發人員指南》中的客戶金鑰和 AWS 金鑰。

   • 若要輸入 KMS 金鑰 ARN，請選擇 [輸入 AWS KMS key ARN]，然後在出現的欄位中輸入您的 KMS 金鑰 ARN。

   • 若要在 AWS KMS 主控台中建立新的客戶管理金鑰，請選擇 [建立 KMS 金鑰]。

     如需有關建立金鑰的詳細資訊 AWS KMS key，請參閱AWS Key Management Service 開發人員指南中的建立金鑰。

   重要

   您只能使用在與儲存貯體相同的 AWS 區域 中可用的 KMS 金鑰。Amazon S3 主控台僅會列出與儲存貯體位於相同區域的前 100 個 KMS 金鑰。若要使用未列出的 KMS 金鑰，必須輸入 KMS 金鑰 ARN。若您想要使用其他帳戶的 KMS 金鑰，您必須先具有該金鑰的使用權限，然後輸入 KMS 金鑰 ARN。

   Amazon S3 僅支援對稱加密 KMS 金鑰，而不支援非對稱 KMS 金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的識別非對稱 KMS 金鑰。

9. 在儲存貯體金鑰下，選擇停用。DSSE-KMS 不支援 S3 儲存貯體金鑰。

10. 選擇 Save changes (儲存變更)。

注意

此動作會將加密套用至所有指定的物件。加密資料夾時，請等待儲存作業完成，然後再將新物件新增至資料夾。

使用 REST API

當您建立物件 (亦即，當您上傳新物件或複製現有物件時) 時，您可以指定使用雙層伺服器端加密 AWS KMS keys (DSSE-KMS) 來加密資料。若要執行這項操作，請將 x-amz-server-side-encryption 標頭新增至要求。將標頭的值設為加密演算法 aws:kms:dsse。Amazon S3 會傳回回應標頭 x-amz-server-side-encryption，確認已使用 DSSE-KMS 加密存放物件。

如果您使用 aws:kms:dsse 的值指定 x-amz-server-side-encryption 標頭，也可以使用下列要求標頭：

• x-amz-server-side-encryption-aws-kms-key-id: SSEKMSKeyId

• x-amz-server-side-encryption-context: SSEKMSEncryptionContext

支援 DSSE-KMS 的 Amazon S3 REST API 操作

下列 REST API 操作接受 x-amz-server-side-encryption、x-amz-server-side-encryption-aws-kms-key-id 和 x-amz-server-side-encryption-context 請求標頭。

• PutObject – 使用 PUT API 操作上傳資料時，您可以指定這些請求標頭。

• CopyObject – 複製物件時，您會同時有來源物件與目標物件。當您使用 CopyObject 操作傳遞 DSSE-KMS 標頭時，這些標頭只會套用至目標物件。複製現有物件時，除非明確地要求伺服器端加密，否則無論來源物件是否經過加密，都不會加密目標物件。

• POST 物件 – 使用 POST 操作上傳物件時，您會提供與表單欄位中相同的資訊，而不是請求標頭。

• CreateMultipartUpload – 透過分段上傳來上傳大型物件時，您可以在 CreateMultipartUpload 請求中指定這些標頭。

使用伺服器端加密存放物件時，下列 REST API 操作的回應標頭會傳回 x-amz-server-side-encryption 標頭。

• PutObject

• CopyObject

• POST 物件

• CreateMultipartUpload

• UploadPart

• UploadPartCopy

• CompleteMultipartUpload

• GetObject

• HeadObject

重要

• 如果您 AWS KMS 未使用安全通訊端層 (SSL)、傳輸層安全性 (TLS) 或簽章版本 4 來建立受到保護的物件，則所有物件GET和PUT要求受到失敗保護的物件。

• 如果您的物件使用 DSSE-KMS，請勿傳送 GET 請求與 HEAD 請求的加密請求標頭，否則您會收到 HTTP 400 (錯誤的請求) 錯誤。

加密內容 (x-amz-server-side-encryption-context)

如果您指定 x-amz-server-side-encryption:aws:kms:dsse，則 Amazon S3 API 支援具有 x-amz-server-side-encryption-context 標頭的加密內容。加密內容是一組金鑰值對，其中包含資料的其他相關內容資訊。

Amazon S3 會自動使用物件的 Amazon Resource Name (ARN) 作為加密內容配對，例如 arn:aws:s3:::object_ARN。

您可以使用 x-amz-server-side-encryption-context 標頭來提供其他加密內容對。不過，加密內容未加密，因此請確保其中不包含敏感資訊。Amazon S3 會一起存放此附加金鑰對與預設加密內容。

如需 Amazon S3 中加密內容的相關資訊，請參閱 加密內容。如需有關加密內容的更多資訊，請參閱《AWS Key Management Service 開發人員指南》中的 AWS Key Management Service 概念：加密內容。

AWS KMS 金鑰識別碼 (x-amz-server-side-encryption-aws-kms-key-id)

您可以使用 x-amz-server-side-encryption-aws-kms-key-id 標頭來指定用來保護資料之客戶受管金鑰的 ID。如果您指定x-amz-server-side-encryption:aws:kms:dsse標頭但未提供標x-amz-server-side-encryption-aws-kms-key-id頭，Amazon S3 會使用 AWS 受管金鑰 (aws/s3) 來保護資料。如果您想要使用客戶受管的金鑰，則必須提供客戶受管金鑰的 x-amz-server-side-encryption-aws-kms-key-id 標頭。

重要

當您在 Amazon S3 中使 AWS KMS key 用伺服器端加密時，您必須選擇對稱加密 KMS 金鑰。Amazon S3 只支援對稱加密 KMS 金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的對稱加密 KMS 金鑰。

使用 AWS CLI

當上傳新物件或複製現有物件時，您可以指定使用 DSSE-KMS 來加密資料。若要執行這項操作，請將 --server-side-encryption aws:kms:dsse 參數新增至請求。使用 --ssekms-key-id example-key-id 參數來新增您已建立的客戶受管 AWS KMS 金鑰。如果您指定--server-side-encryption aws:kms:dsse但未提供 AWS KMS 金鑰 ID，則 Amazon S3 將使用受 AWS 管金鑰 (aws/s3)。

aws s3api put-object --bucket DOC-EXAMPLE-BUCKET --key example-object-key --server-side-encryption aws:kms:dsse --ssekms-key-id example-key-id --body filepath

您可以將未加密的物件加密以使用 DSSE-KMS，方法是將物件複製回原位。

aws s3api copy-object --bucket DOC-EXAMPLE-BUCKET --key example-object-key --body filepath --bucket DOC-EXAMPLE-BUCKET --key example-object-key --sse aws:kms:dsse --sse-kms-key-id example-key-id --body filepath