使用服务器端加密保护数据

服务器端加密是指由接收数据的应用程序或服务在目标位置对数据进行加密。Amazon S3 在将您的数据写入 AWS 数据中心内的磁盘时会在对象级别加密这些数据，并在您访问这些数据时解密这些数据。只要您验证了您的请求并且拥有访问权限，您访问加密和未加密对象的方式就没有区别。例如，如果您使用预签名的 URL 来共享您的对象，那么对于加密和解密的对象，该 URL 的工作方式是相同的。此外，在您列出桶中的对象时，列表 API 操作会返回所有对象的列表（无论对象是否加密）。

原定设置情况下，所有 Amazon S3 桶都配置了加密，所有上传到 S3 桶的新对象都会自动静态加密。具有 Amazon S3 托管式密钥的服务器端加密（SSE-S3）是 Amazon S3 中每个桶的原定设置加密配置。要使用其他类型的加密，您可以指定要在 S3 PUT 请求中使用的服务器端加密类型，也可以在目标桶中设置原定设置加密配置。

如果您想在 PUT 请求中指定不同的加密类型，则可以使用具有 AWS Key Management Service（AWS KMS）密钥的服务器端加密（SSE-KMS）、具有 AWS KMS 密钥的双层服务器端加密（DSSE-KMS）或具有客户提供的密钥的服务器端加密（SSE-C）。如果您想在目标桶中设置不同的原定设置加密配置，则可以使用 SSE-KMS 或 DSSE-KMS。

如果您需要加密现有对象，请使用 S3 批量操作和 S3 清单。有关更多信息，请参阅 使用 Amazon S3 批量操作加密对象 和 对 Amazon S3 对象执行大规模分批操作 。

对于服务器端加密，您有四个互斥的选项，具体取决于您选择如何管理加密密钥和要应用的加密层数。

具有 Amazon S3 托管式密钥的服务器端加密（SSE-S3）

原定设置情况下，所有 Amazon S3 桶都配置了加密。服务器端加密的原定设置选项是使用 Amazon S3 托管式密钥（SSE-S3）。每个对象都使用唯一的密钥来进行加密。作为额外的保护措施，SSE-S3 使用定期轮换的根密钥加密密钥本身。SSE-S3 使用可用的最强数据块密码之一 [即 256 位高级加密标准（AES-256）] 来加密您的数据。有关更多信息，请参阅 使用具有 Amazon S3 托管式密钥的服务器端加密（SSE-S3） 。

具有 AWS Key Management Service (AWS KMS) 密钥的服务器端加密 (SSE-KMS)

具有 AWS KMS keys 的服务器端加密（SSE-KMS）是通过将 AWS KMS 服务与 Amazon S3 集成来提供的。使用 AWS KMS，您可以更好地控制您的密钥。例如，您可以查看单独的密钥、编辑控制策略以及遵循 AWS CloudTrail 中的密钥。此外，您还可以创建和管理客户自主管理型密钥，或者使用对于您、服务和区域为唯一的 AWS 托管式密钥。有关更多信息，请参阅 使用具有 AWS KMS 密钥的服务器端加密（SSE-KMS） 。

具有 AWS Key Management Service（AWS KMS）密钥的双层服务器端加密（DSSE-KMS）