安全性

安全性与合规性

考虑使用 S3 和 KMS 进行符合加密标准的存储

除非您另行指定，否则默认情况下，所有 S3 存储桶都使用 SSE-S3 对静态对象进行加密。但是，您可以选择将存储桶配置为使用服务器端加密和 AWS 密钥管理服务 (AWS KMS) 密钥 (SSE-KMS)。AWS KMS 中的安全控制措施可以帮助您满足与加密相关的合规性要求。您可以利用这些 KMS 密钥来保护在 Amazon S3 存储桶中的数据。当您对 S3 存储桶使用 SSE-KMS 加密时，AWS KMS 密钥必须与存储桶位于同一区域。

将您的通用存储桶配置为使用适用于 SSE-KMS 的 S3 存储桶密钥，通过减少从 Amazon S3 到 AWS KMS 的请求流量，将您的 AWS KMS 请求成本降低多达 99%。S3 存储桶密钥始终为目录存储桶启用GET和PUT操作，并且无法禁用。

请注意，Amazon S3 Express One Zon e 使用一种名为 S3 目录存储桶的特定类型的存储桶。目录存储桶专门用于 S3 Express One Zone 存储类别，可实现高性能、低延迟的访问。要在 S3 目录存储桶上配置默认存储桶加密，请使用 AWS CLI 并指定 KMS 密钥 ID 或 ARN，而不是别名，如下例所示：

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'