发布于: Aug 8, 2022
借助新的 Amazon S3 条件键,您可以编写策略,以帮助您控制通过客户提供的密钥 (SSE-C) 对服务器端加密的使用。通过使用 Amazon S3 条件键,您可以在存储桶或 IAM 策略的可选“条件”元素中指定授予权限的条件。其中一个条件是需要使用首选加密方法进行服务器端加密 (SSE)。
使用 SSE-C 时,您需要提供和管理加密密钥,而 S3 会对对象数据实施加密和解密。大多数客户利用 S3 对加密密钥的内置支持以及 S3 托管 (SSE-S3) 或 Amazon Key Management Service (KMS) 密钥 (SSE-KMS)。但是,有些客户选择 SSE-C 获得对 S3 中存储的敏感数据的额外控制层,或者满足合规性要求。在这些情况下,您可能希望所有至存储桶的上传都使用 SSE-C。在其他情况下,您可能希望使用 SSE-C 阻止对象上传,从而使您和您的客户无需维护加密密钥。借助新的条件键,客户可以选择需要或限制使用 SSE-C。
适用于 SSE-C 加密对象的 S3 条件键现已在由光环新网运营的亚马逊云科技中国(北京)和由西云数据运营的亚马逊云科技中国(宁夏)区域推出,且无需任何额外成本。要开始使用新的条件键,请访问使用提供提供的加密米哟进行服务器端加密来保护数据相关文档。要了解有关 S3 条件键的更多信息,请访问 S3 用户指南。