我在 Amazon Simple Storage Service (Amazon S3) 儲存貯體上啟用了預設加密。我是否需要變更儲存貯體政策,以確保儲存在儲存貯體中的物件皆已加密?
否,您不需要更新儲存貯體政策,就能確保儲存在儲存貯體中的物件皆已加密。如果您啟用預設加密,且使用者上傳無加密資訊的物件,Amazon S3 則會使用您指定的預設加密方法。如果使用者在 PUT 請求中指定加密資訊,Amazon S3 會使用在請求中指定的加密。
此行為適用於以下金鑰的加密:
如需啟用預設加密後的詳細加密行為資訊,請參閱設定 Amazon S3 儲存貯體的預設伺服器端加密行為。
**重要事項:**使用自訂 AWS KMS key 啟用預設加密後,則須授予使用者其他許可才能夠存取物件。授予這些使用者使用金鑰政策或 AWS 身分與存取管理 (IAM) 政策上金鑰的許可。如需如何授予這些許可的說明,請參閱我的 Amazon S3 儲存主體具備使用自訂 AWS KMS key 的預設加密。如何允許使用者從儲存貯體下載和上傳到儲存主體? 如需跨帳戶操作,請參閱使用跨帳戶操作的 SSE-KMS 加密。
AWS KMS 的金鑰政策
AWS KMS 概念