使用加密功能保護 S3 資料表資料
資料保護是指保護往返 Amazon S3 的傳輸中資料,以及儲存在 Amazon S3 資料中心內磁碟的靜態資料。S3 Tables 一律使用 Transport Layer Security (1.2 版及更高版本) 透過 HTTPS 保護傳輸中的資料。下列選項可讓您保護 S3 資料表儲存貯體中的靜態資料:
- 使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密
根據預設,所有 Amazon S3 資料表儲存貯體都設定加密。伺服器端加密的預設為使用 Amazon S3 受管金鑰 (SSE-S3)。此加密是免費的,並且適用於您的 S3 資料表儲存貯體中的所有資料表,除非您指定其他加密方式。每個物件都使用不重複的金鑰加密。SSE-S3 使用定期輪換的根金鑰自行加密金鑰,提供額外的防護。SSE-S3 使用目前最強大的其中一種區塊加密法 (256 位元進階加密標準 (AES-256)),加密您的資料。
- 以 AWS KMS 金鑰 (SSE-KMS) 進行伺服器端加密
您可以選擇將資料表儲存貯體或資料表設定為使用伺服器端加密與 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)。AWS KMS 中的安全控制可以協助您符合加密相關合規要求。SSE-KMS 可讓您執行下列動作,讓您能進一步控制加密金鑰:
-
建立、檢視、編輯、監控、啟用或停用、輪換和排程 KMS 金鑰的刪除。
-
定義可控制 KMS 金鑰使用方式和使用者的政策。
-
在 AWS CloudTrail 中追蹤金鑰用量,確認您的 KMS 金鑰使用是否正確。
S3 Tables 支援在 SSE-KMS 中使用客戶自管金鑰加密資料表。但不支援 AWS 受管金鑰。如需使用 SSE-KMS for S3 資料表和資料表儲存貯體的詳細資訊,請參閱 在資料表儲存貯體中搭配 AWS KMS 金鑰(SSE-KMS) 使用伺服器端加密。
-
