# 使用加密保护 S3 表数据 数据保护指在数据传输(数据发往和离开 Amazon S3 时)和处于静态(数据存储在 Amazon S3 数据中心的磁盘上时)期间保护数据。S3 表类数据存储服务始终通过 HTTPS 使用传输层安全性(1.2 及更高版本)来保护传输中数据。为保护 S3 表存储桶中的静态数据,您具有以下选项: **具有 Amazon S3 托管密钥的服务器端加密(SSE-S3)** 默认情况下,所有 Amazon S3 表存储桶都配置了加密。服务器端加密的默认选项是使用 Amazon S3 托管式密钥(SSE-S3)。这种加密对您来说是免费的,并且适用于 S3 表存储桶中的所有表,除非您指定了另一种加密形式。每个对象都使用唯一的密钥来进行加密。作为额外的保护措施,SSE-S3 使用定期轮换的根密钥加密密钥本身。SSE-S3 使用可用的最强数据块密码之一 [即 256 位高级加密标准(AES-256)] 来加密您的数据。 **具有 Amazon KMS 密钥的服务器端加密(SSE-KMS)** 可以选择将表存储桶或表配置为使用具有 Amazon Key Management Service(Amazon KMS)密钥的服务器端加密(SSE-KMS)。Amazon KMS 中的安全控制可帮助您满足与加密相关的合规性要求。SSE-KMS 可让您通过执行以下操作来更好地控制加密密钥: + 创建、查看、编辑、监控、启用或禁用、轮换以及安排删除 KMS 密钥。 + 定义控制如何使用和谁可以使用 KMS 密钥的策略。 + 在 Amazon CloudTrail 中跟踪密钥使用情况,以验证 KMS 密钥是否得到正确使用。 S3 表类数据存储服务支持在 SSE-KMS 中使用客户自主管理型密钥来加密表。不支持 Amazon 托管式密钥。有关对 S3 表和表存储桶使用 SSE-KMS 的更多信息,请参阅[在表存储桶中使用具有 Amazon KMS 密钥的服务器端加密(SSE-KMS)](s3-tables-kms-encryption.md)。