當我啟用 Amazon S3 儲存貯體的預設加密時,是否需要更新我的儲存貯體政策,以便讓儲存貯體中的物件都加密?

1 分的閱讀內容
0

我在 Amazon Simple Storage Service (Amazon S3) 儲存貯體上啟用了預設加密。我是否需要變更儲存貯體政策,以確保儲存在儲存貯體中的物件皆已加密?

解決方法

否,您不需要更新儲存貯體政策,就能確保儲存在儲存貯體中的物件皆已加密。如果您啟用預設加密,且使用者上傳無加密資訊的物件,Amazon S3 則會使用您指定的預設加密方法。如果使用者在 PUT 請求中指定加密資訊,Amazon S3 會使用在請求中指定的加密。

此行為適用於以下金鑰的加密:

  • 由 Amazon S3 管理的金鑰。
  • 標示為 SSE-S3 金鑰的金鑰。
  • 由 AWS Key Management Service (AWS KMS) 管理的金鑰。
  • 標示為 SSE-KMS 金鑰的金鑰。

如需啟用預設加密後的詳細加密行為資訊,請參閱設定 Amazon S3 儲存貯體的預設伺服器端加密行為

**重要事項:**使用自訂 AWS KMS key 啟用預設加密後,則須授予使用者其他許可才能夠存取物件。授予這些使用者使用金鑰政策或 AWS 身分與存取管理 (IAM) 政策上金鑰的許可。如需如何授予這些許可的說明,請參閱我的 Amazon S3 儲存主體具備使用自訂 AWS KMS key 的預設加密。如何允許使用者從儲存貯體下載和上傳到儲存主體? 如需跨帳戶操作,請參閱使用跨帳戶操作的 SSE-KMS 加密


相關資訊

AWS KMS 的金鑰政策

AWS KMS 概念

AWS 官方
AWS 官方已更新 2 年前