在 Amazon S3 存储桶上激活默认加密时,我是否需要更新存储桶策略以加密存储桶中的对象?

1 分钟阅读
0

我在 Amazon Simple Storage Service(Amazon S3)存储桶上激活了默认加密。我是否需要更改存储桶策略以确保存储桶上存储的对象得到加密?

解决方法

不,您无需更新存储桶策略即可确保存储桶上存储的对象得到加密。如果您激活了默认加密并且用户上传了不含加密信息的对象,则 Amazon S3 将会使用您指定的默认加密方法。如果用户在 PUT 请求中指定了加密信息,则 Amazon S3 将使用该请求中指定的加密方法。

此行为适用于使用以下密钥进行加密:

  • 由 Amazon S3 托管的密钥。
  • 标记为 SSE-S3 密钥的密钥。
  • 由 AWS Key Management Service(AWS KMS)托管的密钥。
  • 标记为 SSE-KMS 密钥的密钥。

有关激活默认加密后的加密行为的更多信息,请参阅设置 Amazon S3 存储桶的默认服务器端加密行为

**重要提示:**使用自定义 AWS KMS 密钥激活默认加密后,必须向用户授予额外的权限才能访问对象。向这些用户授予在密钥策略或其 AWS Identity and Access Management(IAM)策略上使用密钥的权限。有关如何授予这些权限的更多信息,请参阅我的 Amazon S3 存储桶使用自定义 AWS KMS 密钥进行默认加密。我如何允许用户从存储桶下载和上传到存储桶? 有关跨账户操作,请参阅使用 SSE-KMS 加密进行跨账户操作


相关信息

AWS KMS 中的密钥策略

AWS KMS 概念

AWS 官方
AWS 官方已更新 1 年前