Amazon S3 新增了一个策略条件键，以要求或限制使用“借助客户提供的密钥进行服务器端加密”(SSE-C)

新的 Amazon S3 条件键使您能够编写策略，从而帮助您控制对“借助客户提供的密钥进行服务器端加密”(SSE-C) 的使用。使用 Amazon S3 条件键，当在存储桶或 IAM 策略的可选“条件”元素中授予权限时，您可以指定条件。例如，有个条件是要求使用您首选的加密方法进行服务器端加密 (SSE)。

当您使用 SSE-C 时，您负责提供和管理加密密钥，S3 负责加密和解密您的对象数据。大多数客户会利用 S3 对加密密钥的内置支持，使用 S3 托管密钥 (SSE-S3) 或 AWS Key Management Service (KMS) 密钥 (SSE-KMS)。不过，有些客户会选择 SSE-C，以便为存储在 S3 中的敏感数据提供一个额外的控制层或满足法规要求。在这些情况下，您可能希望全都上传到存储桶中以使用 SSE-C。在其他情况下，您可能希望使用 SSE-C 阻止对象上传，以便您和您的客户不必维护加密密钥。新的条件键使客户可以选择要求或限制使用 SSE-C。

适用于 SSE-C 加密对象的 S3 条件键已在所有商业 AWS 区域免费提供，包括 AWS GovCloud（美国）区域、由光环新网运营的 AWS 中国（北京）区域和由西云数据运营的 AWS 中国（宁夏）区域。要开始使用新的条件键，请访问有关使用“借助客户提供的加密密钥进行服务器端加密”保护数据的文档。要了解有关 S3 条件键的更多信息，请访问 S3 用户指南。