使用加密保护 S3 表数据 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用加密保护 S3 表数据

数据保护指在数据传输(数据发往和离开 Amazon S3 时)和处于静态(数据存储在 Amazon S3 数据中心的磁盘上时)期间保护数据。S3 表类数据存储服务始终通过 HTTPS 使用传输层安全性(1.2 及更高版本)来保护传输中数据。为保护 S3 表存储桶中的静态数据,您具有以下选项:

具有 Amazon S3 托管式密钥的服务器端加密(SSE-S3)

默认情况下,所有 Amazon S3 表存储桶都配置了加密。服务器端加密的默认选项是使用 Amazon S3 托管式密钥(SSE-S3)。这种加密对您来说是免费的,并且适用于 S3 表存储桶中的所有表,除非您指定了另一种加密形式。每个对象都使用唯一的密钥来进行加密。作为额外的保护措施,SSE-S3 使用定期轮换的根密钥加密密钥本身。SSE-S3 使用可用的最强数据块密码之一 [即 256 位高级加密标准(AES-256)] 来加密您的数据。

具有 Amazon KMS 密钥的服务器端加密(SSE-KMS)

可以选择将表存储桶或表配置为使用具有 Amazon Key Management Service(Amazon KMS)密钥的服务器端加密(SSE-KMS)。Amazon KMS 中的安全控制可帮助您满足与加密相关的合规性要求。SSE-KMS 可让您通过执行以下操作来更好地控制加密密钥:

  • 创建、查看、编辑、监控、启用或禁用、轮换以及安排删除 KMS 密钥。

  • 定义控制如何使用和谁可以使用 KMS 密钥的策略。

  • 在 Amazon CloudTrail 中跟踪密钥使用情况,以验证 KMS 密钥是否得到正确使用。

S3 表类数据存储服务支持在 SSE-KMS 中使用客户自主管理型密钥来加密表。不支持 Amazon 托管式密钥。有关对 S3 表和表存储桶使用 SSE-KMS 的更多信息,请参阅在表存储桶中使用具有 Amazon KMS 密钥的服务器端加密(SSE-KMS)