Amazon S3 Express One Zone 存储类现在支持使用客户自主管理型密钥的 AWS-KMS
Amazon S3 Express One Zone 存储类现在支持使用客户自主管理型密钥通过 AWS Key Management Service (SSE-KMS) 进行服务器端加密。默认情况下,S3 Express One Zone 存储类使用 S3 托管密钥 (SSE-S3) 通过服务器端加密对所有对象进行加密。借助 S3 Express One Zone 存储类对客户自主管理型密钥的支持,您可以选择更多数据加密方式,从而实现数据安全。当您在 S3 Express One Zone 存储类中使用 SSE-KMS 时,S3 存储桶密钥始终处于启用状态,而且您无需支付额外费用。
借助客户自主管理型密钥,您可以设置密钥策略来规定哪些 IAM 角色可以解密您的数据,并在 AWS CloudTrail 中查看用于加密和解密数据的特定密钥的完整记录。此外,使用 S3 存储桶密钥时,KMS 生成的是一个存储桶级别的密钥,而不是为每个 KMS 加密对象生成单独的 KMS 密钥。S3 Express One Zone 存储类使用该存储桶密钥来保护用于加密存储桶中的对象的唯一数据密钥,从而无需其他 KMS 请求即可完成加密操作。这减少了对 KMS 的请求流量,让您能够以较低的成本访问 S3 Express One Zone 存储类中的加密对象,同时保持相同的个位数毫秒级数据访问速度。
在所有提供 S3 Express One Zone 存储类的 AWS 区域,均支持使用客户自主管理型密钥进行 SSE-KMS 加密。通过使用 AWS CLI 或 AWS SDK,为您的 S3 目录存储桶指定客户自主管理型密钥,开始使用适用于 S3 Express One Zone 存储类的 KMS。要了解更多信息,请访问 S3 用户指南和 AWS 新闻博客。