本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配 AWS KMS 金鑰使用伺服器端加密 (SSE-KMS)
**重要**
Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS CLI 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。如需詳細資訊,請參閱[預設加密常見問答集](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html)。
伺服器端加密是指接收資料的應用程式或服務在目的地將資料加密。
Amazon S3 會自動為新上傳的物件,以 Amazon S3 受管金鑰 (SSE-S3) 啟用伺服器端加密。
除非您另行指定,否則根據預設,儲存貯體會使用 SSE-S3 來加密物件。不過,您可以選擇將儲存貯體設定為使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)。如需詳細資訊,請參閱[使用 AWS KMS (SSE-KMS) 指定伺服器端加密](specifying-kms-encryption.md)。
AWS KMS 是一種服務,結合了安全、高可用性的硬體和軟體,以提供針對雲端擴展的金鑰管理系統。Amazon S3 使用伺服器端加密搭配 AWS KMS (SSE-KMS) 來加密 S3 物件資料。此外,當物件請求 SSE-KMS 時,S3 檢查總和 (作為物件中繼資料的一部分) 會以加密形式儲存。如需總和檢查的詳細資訊,請參閱 [在 Amazon S3 中檢查物件完整性](checking-object-integrity.md)。
如果您使用 KMS 金鑰,您可以透過 AWS KMS [AWS 管理主控台](https://console.aws.amazon.com/kms)或 [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) 使用 來執行下列動作:
+ 集中建立、檢視、編輯、監控、啟用或停用、輪換和排程 KMS 金鑰的刪除。
+ 定義可控制 KMS 金鑰使用方式和使用者的政策。
+ 稽核 KMS 金鑰用量以正確使用。[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) 支援稽核,但 [AWS KMS Console;](https://console.aws.amazon.com/kms) 不支援。
中的安全控制 AWS KMS 可協助您符合加密相關的合規要求。您可以使用這些 KMS 金鑰來保護 Amazon S3 儲存貯體中的資料。當您搭配 S3 儲存貯體使用 SSE-KMS 加密時, AWS KMS keys 必須與儲存貯體位於相同的區域。
使用 需支付額外費用 AWS KMS keys。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的 [AWS KMS key 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)和 [AWS KMS 定價](https://aws.amazon.com/kms/pricing)。
如需允許 IAM 使用者存取 KMS 加密儲存貯體的指示,請參閱 [My Amazon S3 儲存貯體具有使用自訂 AWS KMS 金鑰的預設加密。如何允許使用者從 下載並上傳至儲存貯體?](https://repost.aws/knowledge-center/s3-bucket-access-default-encryption) AWS re:Post 知識中心的 。
**許可**
若要成功向 Amazon S3 提出使用 AWS KMS 金鑰加密物件的 `PutObject` 請求,您需要金鑰的 `kms:GenerateDataKey` 許可。若要下載使用 加密的物件 AWS KMS key,您需要 金鑰的`kms:Decrypt`許可。若要[執行分段上傳](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html#mpuAndPermissions)以使用 加密物件 AWS KMS key,您必須擁有 金鑰的 `kms:GenerateDataKey`和 `kms:Decrypt`許可。
**重要**
請仔細檢閱 KMS 金鑰政策中授予的許可。一律將客戶受管 KMS 金鑰政策許可限制為必須存取相關 AWS KMS 金鑰動作的 IAM 主體 AWS 和服務。如需詳細資訊,請參閱 [AWS KMS中的金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
如果儲存貯體用作 Amazon S3 伺服器存取記錄的目的地,則目的地儲存貯體必須使用 Amazon S3 受管金鑰 (SSE-S3)。如果目的地儲存貯體使用 SSE-KMS 預設加密,Amazon S3 可能會交付使用您無法存取的金鑰加密的日誌物件。若要解決此問題,請將目的地儲存貯體的預設加密變更為 SSE-S3。如需詳細資訊,請參閱[啟用 Amazon S3 伺服器存取記錄日誌](enable-server-access-logging.md)。
**Topics**
+ [AWS KMS keys](#aws-managed-customer-managed-keys)
+ [Amazon S3 儲存貯體金鑰](#sse-kms-bucket-keys)
+ [要求伺服器端加密](#require-sse-kms)
+ [加密內容](#encryption-context)
+ [傳送 AWS KMS 加密物件的請求](#aws-signature-version-4-sse-kms)
+ [使用 AWS KMS (SSE-KMS) 指定伺服器端加密](specifying-kms-encryption.md)
+ [使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)
## AWS KMS keys
當您搭配 AWS KMS (SSE-KMS) 使用伺服器端加密時,您可以使用預設的 [AWS 受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk),也可以指定您已建立[的客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。 AWS KMS 支援*信封加密*。S3 使用*信封加密* AWS KMS 功能來進一步保護您的資料。封套加密是使用資料金鑰來加密純文字資料,然後再透過另一個 KMS 金鑰來加密資料金鑰的實務做法。如需封套加密的詳細資訊,請參閱 *AWS Key Management Service 開發人員指南*中的[封套加密](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#enveloping)。
如果您未指定客戶受管金鑰,Amazon S3 會在您 AWS 帳戶 第一次將以 SSE-KMS 加密的物件新增至儲存貯 AWS 受管金鑰 體時自動建立 。根據預設,Amazon S3 會將此 KMS 金鑰用於 SSE-KMS。
**注意**
使用 SSE-KMS 搭配 [AWS 受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) 加密的物件無法跨帳戶共用。如果您需要跨帳戶共用 SSE-KMS 資料,您必須從中使用[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS。
如果您想要針對 SSE-KMS 使用客戶受管金鑰,請在設定 SSE-KMS 之前建立對稱加密客戶受管金鑰。然後,當您為儲存貯體設定 SSE-KMS 時,請指定現有客戶受管金鑰。如需對稱加密的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[對稱加密 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks)。
建立客戶受管金鑰可為您提供更多的靈活性與控制。例如,您可以建立、輪換和停用客戶受管金鑰。您也可以定義存取控制,並稽核用來保護資料的客戶受管金鑰。如需客戶管理和 AWS 受管金鑰的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[客戶金鑰和 AWS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)。
**注意**
當您搭配存放在外部金鑰存放區中的客戶受管金鑰使用伺服器端加密時,與標準 KMS 金鑰不同,您有責任確保金鑰材料的可用性和耐久性。如需外部金鑰存放區及其如何轉移共用責任模型的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[外部金鑰存放區](https://docs.aws.amazon.com//kms/latest/developerguide/keystore-external.html)。
### 針對跨帳戶操作使用 SSE-KMS 加密
對跨帳戶操作使用加密時,請注意下列事項:
+ 如果未在請求時間或透過儲存貯體的預設加密組態提供 AWS KMS key Amazon Resource Name (ARN) 或別名, AWS 受管金鑰 則會使用上傳帳戶中的 (`aws/s3`) 進行加密和解密。
+ AWS 受管金鑰 當上傳和存取 (IAM`aws/s3`) 主體來自相同 時, AWS Identity and Access Management () 可以用作跨帳戶操作的 KMS 金鑰 AWS 帳戶。
+ 如果您想要授予 S3 物件跨帳戶存取權,請使用客戶受管金鑰。您可以設定客戶受管金鑰的政策,以允許從另一個帳戶存取的權限。
+ 指定客戶自管 KMS 金鑰時,建議您使用完整的 KMS 金鑰 ARN。如果您改為使用 KMS 金鑰別名, 會在申請者的帳戶中 AWS KMS 解析金鑰。此行為可能會導致資料使用屬於申請者 (而不是儲存貯體擁有者) 的 KMS 金鑰來加密。
+ 您必須指定已授予您 (要求者) 已獲授予 `Encrypt` 許可的金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[允許金鑰使用者在密碼編譯操作中使用 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto)。
如需何時使用客戶受管金鑰和 AWS 受管 KMS 金鑰的詳細資訊,請參閱[我應該使用 AWS 受管金鑰 或客戶受管金鑰來加密 Amazon S3 中的物件嗎?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-object-encryption-keys/)
### SSE-KMS 加密工作流程
如果您選擇使用 AWS 受管金鑰 或客戶受管金鑰加密資料, AWS KMS Amazon S3 會執行下列信封加密動作:
1. Amazon S3 請求純文字[資料金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#data-keys)和在指定的 KMS 金鑰下加密的金鑰複本。
1. AWS KMS 會產生資料金鑰、在 KMS 金鑰下加密,並將純文字資料金鑰和加密的資料金鑰同時傳送至 Amazon S3。
1. Amazon S3 使用資料金鑰來加密資料,並在使用後盡快從記憶體中移除純文字金鑰。
1. Amazon S3 將加密的資料金鑰以中繼資料形式跟加密資料一起存放。
當您請求解密您的資料時,Amazon S3 會 AWS KMS 執行下列動作:
1. Amazon S3 會在`Decrypt`請求 AWS KMS 中將加密的資料金鑰傳送至 。
1. AWS KMS 使用相同的 KMS 金鑰解密加密的資料金鑰,並將純文字資料金鑰傳回 Amazon S3。
1. Amazon S3 使用純文字資料金鑰來解密加密的資料,然後盡快從記憶體移除純文字資料金鑰。
**重要**
當您在 Amazon S3 中使用 AWS KMS key 進行伺服器端加密時,您必須選擇對稱加密 KMS 金鑰。Amazon S3 只支援對稱加密 KMS 金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[對稱加密 KMS 金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks)。
### 稽核 SSE-KMS 加密
若要識別指定 SSE-KMS 的請求,您可以在 Amazon S3 Storage Lens 指標中使用**所有 SSE-KMS 請求**和 **% 所有 SSE-KMS 請求**指標。S3 Storage Lens 是一種雲端儲存體分析功能,您可以用來了解整個組織使用物件儲存體的情況及其活動情形。您也可以使用啟用 SSE-KMS 的儲存貯體計數和啟用 SSE-KMS 的儲存貯體百分比,來了解[預設儲存貯體加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) (SSE-KMS) 的儲存貯體計數。如需詳細資訊,請參閱[使用 S3 Storage Lens 評估儲存活動和用量](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html?icmpid=docs_s3_user_guide_UsingKMSEncryption.html)。如需完整的指標清單,請參閱 [S3 Storage Lens 指標詞彙表](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens_metrics_glossary.html?icmpid=docs_s3_user_guide_UsingKMSEncryption.html)。
若要稽核 SSE-KMS 加密資料的 AWS KMS 金鑰使用情況,您可以使用 AWS CloudTrail 日誌。您可以深入了解[密碼編譯操作](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations),例如 [https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html) 和 [https://docs.aws.amazon.com/kms/latest/developerguide/ct-decrypt.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-decrypt.html)。CloudTrail 支援多種[屬性值](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)來篩選搜尋,包括事件名稱、使用者名稱和事件來源。
## Amazon S3 儲存貯體金鑰
當您使用 AWS KMS (SSE-KMS) 設定伺服器端加密時,您可以將儲存貯體設定為使用 SSE-KMS 的 S3 儲存貯體金鑰。使用 SSE-KMS 的儲存貯體層級金鑰,可將 Amazon S3 的 AWS KMS 請求流量降低高達 99% 的請求成本 AWS KMS。
當您將儲存貯體設定為在新物件上使用 SSE-KMS 的 S3 儲存貯體金鑰時, AWS KMS 會產生一個儲存貯體層級金鑰,用於為儲存貯體中的物件建立唯一的[資料金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys)。此 S3 儲存貯體金鑰在 Amazon S3 內使用一段時間,進一步減少 Amazon S3 向 提出請求 AWS KMS 以完成加密操作的需求。如需使用 S3 儲存貯體金鑰的詳細資訊,請參閱 [使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)。
## 要求伺服器端加密
若要在特定 Amazon S3 儲存貯體中要求所有物件的伺服器端加密,您可以使用儲存貯體政策。例如,如果請求不包含要求含 SSE-KMS 之伺服器端加密的 `x-amz-server-side-encryption-aws-kms-key-id` 標頭,則下列儲存貯體政策會拒絕向所有人上傳物件 (`s3:PutObject`) 的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"PutObjectPolicy",
"Statement":[{
"Sid":"DenyObjectsThatAreNotSSEKMS",
"Effect":"Deny",
"Principal":"*",
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition":{
"Null":{
"s3:x-amz-server-side-encryption-aws-kms-key-id":"true"
}
}
}
]
}
```
------
若要要求 AWS KMS key 使用特定 來加密儲存貯體中的物件,您可以使用 `s3:x-amz-server-side-encryption-aws-kms-key-id`條件金鑰。若要指定 KMS 金鑰,您必須使用 `arn:aws:kms:{{region}}:{{acct-id}}:key/{{key-id}}` 格式的金鑰 Amazon Resource Name (ARN)。 AWS Identity and Access Management 不會驗證 的字串`s3:x-amz-server-side-encryption-aws-kms-key-id`是否存在。
**注意**
當您上傳物件時,您可以使用 `x-amz-server-side-encryption-aws-kms-key-id` 標頭或依賴您的[預設儲存貯體加密組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)來指定 KMS 金鑰。如果您的 PutObject 請求在 `x-amz-server-side-encryption` 標頭中指定 `aws:kms`,但未指定 `x-amz-server-side-encryption-aws-kms-key-id` 標頭,則 Amazon S3 會假設您想要使用 AWS 受管金鑰。無論如何,Amazon S3 用於物件加密的 AWS KMS 金鑰 ID 必須符合政策中的 AWS KMS 金鑰 ID,否則 Amazon S3 會拒絕請求。
如需 Amazon S3 特定條件索引鍵的完整清單,請參閱服務授權參考**中的 [Amazon S3 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)。
## 加密內容
*加密內容*是一組金鑰值對,其中包含資料的其他相關內容資訊。加密內容不被加密。為加密操作指定加密內容時,Amazon S3 必須指定與解密操作相同的加密內容。否則,解密失敗。 AWS KMS 會使用加密內容做為[額外的驗證資料](https://docs.aws.amazon.com/database-encryption-sdk/latest/devguide/concepts.html#digital-sigs) (AAD),以支援[驗證加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations#digital-sigs)。如需有關加密內容的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)。
根據預設,Amazon S3 會使用物件或儲存貯體 Amazon Resource Name (ARN) 作為加密內容對:
+ **如果在未啟用 S3 儲存貯體金鑰的情況下使用 SSE-KMS**,則使用物件 ARN 作為加密內容。
```
arn:aws:s3:::{{object_ARN}}
```
+ **如果使用 SSE-KMS 並啟用 S3 儲存貯體金鑰**,則使用儲存貯體 ARN 作為加密內容。如需 S3 儲存貯體金鑰的詳細資訊,請參閱 [使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)。
```
arn:aws:s3:::{{bucket_ARN}}
```
您可以選擇在 [s3:PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html#API_PutObject_RequestSyntax) 請求中使用 `x-amz-server-side-encryption-context` 標頭,來提供其他加密內容對。不過,加密內容未加密,因此請確保其中不包含敏感資訊。Amazon S3 會一起存放此附加金鑰對與預設加密內容。當其處理 `PUT` 請求時,Amazon S3 會將 `aws:s3:arn` 的預設加密內容附加至您提供的加密內容。
您可以使用加密內容來識別和分類密碼編譯操作。您也可以使用預設加密內容 ARN 值, AWS CloudTrail 透過檢視與哪個加密金鑰搭配使用的 Amazon S3 ARN,在 中追蹤相關請求。
在 CloudTrail 日誌檔案的 `requestParameters` 欄位中,加密內容看起來如下。
```
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::{{{{amzn-s3-demo-bucket1}}/file_name}}"
}
```
當您搭配選用 S3 儲存貯體金鑰功能使用 SSE-KMS 時,加密內容值是儲存貯體的 ARN。
```
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::{{{{amzn-s3-demo-bucket1}}}}"
}
```
## 傳送 AWS KMS 加密物件的請求
**重要**
AWS KMS 加密物件的所有 `GET`和 `PUT`請求必須使用 Secure Sockets Layer (SSL) 或 Transport Layer Security (TLS) 提出。請求也必須使用有效的登入資料簽署,例如 AWS Signature 第 4 版 (或 AWS Signature 第 2 版)。
AWS Signature 第 4 版是將 AWS 身分驗證資訊新增至 HTTP 傳送之請求的程序。為了安全起見,對 的大多數請求 AWS 都必須使用存取金鑰簽署,該金鑰包含存取金鑰 ID 和私密存取金鑰。這兩種金鑰通常稱為您的安全憑證。如需詳細資訊,請參閱身分[身分驗證請求 (AWS Signature 第 4 版)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) 和 [Signature 第 4 版簽章程序](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)。
**重要**
如果您的物件使用 SSE-KMS,請不要傳送 `GET` 請求與 `HEAD` 請求的加密請求標頭。否則,您會收到 HTTP 400 Bad Request (HTTP 400 錯誤的請求) 錯誤。
**Topics**
+ [AWS KMS keys](#aws-managed-customer-managed-keys)
+ [Amazon S3 儲存貯體金鑰](#sse-kms-bucket-keys)
+ [要求伺服器端加密](#require-sse-kms)
+ [加密內容](#encryption-context)
+ [傳送 AWS KMS 加密物件的請求](#aws-signature-version-4-sse-kms)
+ [使用 AWS KMS (SSE-KMS) 指定伺服器端加密](specifying-kms-encryption.md)
+ [使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](bucket-key.md)