Amazon S3 Express One Zone 現在透過客戶管理金鑰支援 AWS-KMS

張貼日期: 2024年9月17日

Amazon S3 Express One Zone 現在支援使用客戶管理金鑰透過 AWS Key Management Service (SSE-KMS) 進行伺服器端加密。根據預設，S3 Express One Zone 會使用 S3 受管金鑰 (SSE-S3) 以透過伺服器端加密來加密所有物件。有了 S3 Express One Zone 支援客戶管理金鑰，您會有更多加密和管理資料安全性的選項。當您將 SSE-KMS 與 S3 Express One Zone 搭配使用時，S3 儲存貯體金鑰一律啟用，無需額外費用。

使用客戶管理金鑰，您可以設定金鑰政策以管理哪些 IAM 角色可以解密您的資料，及在 AWS CloudTrail 中查看用於加密和解密資料之特定金鑰的完整會計資料。此外，透過 S3 儲存貯體金鑰，KMS 會為每個 KMS 加密物件產生儲存貯體級金鑰，而不是個別的 KMS 金鑰。S3 Express One Zone 使用此儲存貯體金鑰來保護用於加密儲存貯體中物件的唯一資料金鑰，避免需要額外的 KMS 請求來完成加密作業。這會減少對 KMS 的請求流量，讓您能夠以一小部分的成本存取 S3 Express One Zone 中的加密物件，同時保持相同的個位數毫秒資料存取。

S3 Express One Zone 使用客戶管理金鑰對 SSE-KMS 的支援在儲存類別可用的所有 AWS 區域中均可使用。透過使用 AWS CLI 或 AWS SDK 指定 S3 目錄儲存貯體的客戶管理金鑰，開始使用 S3 Express One Zone 的 KMS。若要進一步了解，請參閱 S3 使用者指南與 AWS 新聞部落格。