Amazon Simple Storage Service
控制台用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

如何为 S3 存储桶启用默认加密?

Amazon S3 默认加密提供了一种方法来设置 S3 存储桶的默认加密行为。您可以对存储桶设置默认加密,以便在存储桶中存储所有对象时对这些对象进行加密。这些对象使用 Amazon S3 托管密钥 (SSE-S3) 或 AWS KMS 托管密钥 (SSE-KMS) 通过服务器端加密进行加密。

在使用服务器端加密时,Amazon S3 在将对象保存到其数据中心的磁盘上之前对其进行加密,并在下载对象时对其进行解密。有关使用服务器端加密和加密密钥管理来保护数据的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的使用服务器端加密保护数据

默认加密适用于所有现有的和新的 S3 存储桶。如果没有默认加密,要对存储在存储桶中的所有对象进行加密,您必须包括加密信息与每个对象存储请求。您还必须设置 S3 存储桶策略以拒绝不包含加密信息的存储请求。

对 S3 存储桶使用默认加密不会产生新的费用。请求配置默认加密功能会产生标准 Amazon S3 请求费用。有关定价的信息,请参阅 Amazon S3 定价。对于 SSE-KMS 加密密钥存储,将会产生 AWS Key Management Service (AWS KMS) 费用,这些费用在 AWS KMS 定价中列出。

对 S3 存储桶启用默认加密

  1. 登录 AWS 管理控制台并通过以下网址打开 Amazon S3 控制台:https://console.amazonaws.cn/s3/

  2. Bucket name 列表中,选择所需的存储桶的名称。

     带突出显示的存储桶名称的存储桶名称列表的屏幕截图。
  3. 选择 Properties.

     已选择“Properties”选项卡的页面选项卡的屏幕截图。
  4. 选择 Default encryption

     默认加密选项的屏幕截图。
  5. 选择 AES-256AWS-KMS

    1. 要对默认加密使用由 Amazon S3 管理的密钥,请选择 AES-256。有关使用 Amazon S3 服务器端加密来加密数据的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的使用 Amazon S3 托管加密密钥保护数据

       已选择 AES-256 的默认加密屏幕。

      重要

      在启用默认加密时,您可能需要更新存储桶策略。有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的从使用存储桶策略执行加密转至默认加密

    2. 要使用由 AWS KMS 管理的密钥进行默认加密,请选择 AWS-KMS,然后从您创建的 AWS KMS 主密钥列表中选择主密钥。键入要使用的 AWS KMS 密钥的 Amazon 资源名称 (ARN)。您可以在 IAM 控制台中的 Encryption keys 下方找到您的 AWS KMS 密钥的 ARN。或者,您可以从下拉列表中选择一个密钥名称。

       已选择 AWS-KMS 的默认加密屏幕和包含密钥名称的下拉列表。

      重要

      如果您将 AWS KMS 选项用于默认加密配置,则您将受到 AWS KMS 的 RPS (每秒请求数) 限制。有关 AWS KMS 限制以及如何请求提高限制的更多信息,请参阅 AWS KMS 限制

      有关创建 AWS KMS 密钥的更多信息,请参阅 AWS Key Management Service Developer Guide 中的创建密钥。有关将 AWS KMS 用于 Amazon S3 的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的使用 AWS KMS 托管密钥保护数据

  6. 选择 Save (保存)

更多信息

本页内容: