欢迎使用新的 Amazon S3 用户指南! Amazon S3 用户指南结合了以下三个已停用的指南中的信息和说明:Amazon S3 开发人员指南、Amazon S3 控制台用户指南和 Amazon S3 入门指南。
指定使用客户提供的密钥的服务器端加密 (SSE-C)。
在使用 REST API 创建对象时,您可以使用客户提供的加密密钥 (SSE-C) 指定服务器端加密。使用 SSE-C 时,必须使用以下请求标头提供加密密钥信息。
名称 | 描述 |
---|---|
x-amz-server-side-encryption-customer-algorithm
|
使用此标头来指定加密算法。标头值必须为“AES256”。 |
x-amz-server-side-encryption-customer-key
|
使用此标头来提供 256 位的 base64 编码的加密密钥以供 Amazon S3 用于加密或解密您的数据。 |
x-amz-server-side-encryption-customer-key-MD5
|
使用此标头根据 RFC 1321 |
您可以使用 AWS 开发工具包包装库将这些标头添加到您的请求中。如果需要,您可以直接在应用程序中调用 Amazon S3 REST API。
您不能使用 Amazon S3 控制台上传对象和请求 SSE-C。也不能使用控制台来更新使用 SSE-C 存储的现有对象(例如,更改存储类别或添加元数据)。
预签名 URL 和 SSE-C
您可以生成可用于上传新对象、检索现有对象或对象元数据等操作的预签名 URL。预签名 URL 支持 SSE-C,如下所示:
-
在创建预签名 URL 时,您必须在签名计算中使用
x-amz-server-side-encryption-customer-algorithm
指定算法。 -
在使用预签名 URL 上传新对象、检索现有对象或仅检索对象元数据时,您必须在您的客户端应用程序中提供所有加密标头。
注意 对于非 SSE-C 对象,您可以生成预签名 URL 并将其直接复制到浏览器中,(例如)以便访问数据。
但对于 SSE-C 对象并非如此,因为除了预签名 URL 外,还需要包含 SSE-C 对象特定的 HTTP 标头。因此,您只能以编程方式将预签名 URL 用于 SSE-C 对象。
支持 SSE-C 的 Amazon S3 REST API
以下 Amazon S3 API 支持使用客户提供的加密密钥进行服务器端加密 (SSE-C)。
-
GET 操作 — 在使用 GET API 检索对象(请参阅 GET Object)时,您可以指定请求标头。使用 SSE-C 加密的对象不支持 Torrent。
-
HEAD 操作 — 要使用 HEAD API 检索对象元数据(请参阅 HEAD Object),可以指定这些请求标头。
-
PUT 操作 — 使用 PUT Object API 上传数据(请参阅 PUT Object)时,可以指定这些请求标头。
-
分段上传 — 在使用分段上传 API 上传大对象时,可以指定这些标头。您可以在以下请求中指定这些标头:启动请求(请参阅启动分段上传)和每个后续分段上传请求(请参阅上传分段或
)。对于每个分段上传请求,加密信息必须与您在启动分段上传请求中提供的信息相同。
-
POST 操作 — 使用 POST 操作上传对象(请参阅 POST Object)时,可在表单字段而不是请求标头中提供相同的信息。
-
Copy 操作 — 复制对象(请参阅 PUT Object - Copy)时,您同时具有源对象和目标对象:
-
如果您希望使用具有 AWS 托管密钥的服务器端加密对目标对象加密,则必须提供
x-amz-server-side-encryption
请求标头。 -
如果您希望使用 SSE-C 对目标对象加密,则必须使用上表中描述的三个标头提供加密信息。
-
如果源对象是使用 SSE-C 加密的,则您必须使用以下标头提供加密密钥信息,以便 Amazon S3 可以解密对象以进行复制。
名称 描述 x-amz-copy-source-server-side-encryption-customer-algorithm
包括此标头以指定 Amazon S3 用于解密源对象的算法。此值必须是
AES256
。x-amz-copy-source-server-side-encryption-customer-key
包括此标头以提供 base64 编码的加密密钥,供 Amazon S3 用于解密源对象。此加密密钥必须是您在创建源对象时为 Amazon S3 提供的加密密钥。否则,Amazon S3 无法解密对象。
x-amz-copy-source-server-side-encryption-customer-key-MD5
包括此标头以根据 RFC 1321
提供加密密钥的 base64 编码的 128 位 MD5 摘要。
-
以下示例演示如何为对象请求使用客户提供的密钥的服务器端加密 (SSE-C)。这些示例执行以下操作。每个操作均演示了如何在请求中指定 SSE-C 相关标头:
-
放置对象 — 上传对象并请求使用客户提供的加密密钥的服务器端加密。
-
获取对象 — 下载上一步中上传的对象。在请求中,应提供上传对象时提供的同一加密信息。Amazon S3 需要此信息来解密对象,以便将对象返回给您。
-
获取对象元数据 — 检索对象的元数据。提供创建对象时使用的同一加密信息。
-
复制对象 — 复制之前上传对象的副本。因为源对象是使用 SSE-C 存储的,因此必须在复制请求中提供其加密信息。默认情况下,仅当您显式请求加密时,Amazon S3 才会为对象的副本加密。此示例指示 Amazon S3 存储对象的加密副本。
上一部分中的示例显示了如何在 PUT、GET、Head 和 Copy 操作中请求使用客户提供的密钥的服务器端加密 (SSE-C)。本节介绍支持 SSE-C 的其他 Amazon S3 API。