Обзор шифрования на стороне системы

Система поддерживает шифрование (SSE) для защиты конфиденциальности данных. Поддерживаются несколько различных методов шифрования на стороне системы:

• Шифрование с использованием ключа, сгенерированного системой (обычное SSE)
• Шифрование с использованием ключа, предоставленного клиентом (SSE-C)
• Шифрование с использованием ключей, управляемых службой управления ключами Amazon Web Services (AWS KMS)

Выбор метода шифрования на стороне сервера может осуществляться на уровне объекта (как указано в заголовках запроса на загрузку объекта), на уровне бакета (чтобы метод шифрования по умолчанию применялся ко всем объектам, загружаемым в бакет), или на уровне политики хранения (чтобы метод шифрования по умолчанию применялся ко всем объектам, загружаемым в любой бакет, использующий политику хранения). При обработке системой загрузки объекта порядок приоритета между этими различными уровнями конфигурации следующий:

1. Если в запросе на загрузку объекта указан метод шифрования на стороне системы, система использует этот метод. В противном случае...
2. Если в конфигурации бакета, в который загружается объект, указан метод шифрования на стороне системы по умолчанию, система использует этот метод. В противном случае...
3. Если в конфигурации политики хранения, используемой бакетом, в который загружается объект, указан метод шифрования на стороне системы по умолчанию, система использует этот метод.

Иными словами, любая конфигурация шифрования, указанная в заголовках запроса на загрузку объекта, имеет приоритет над конфигурацией бакета по умолчанию; а конфигурация бакета по умолчанию имеет приоритет над конфигурацией политики хранения. Если метод шифрования не указан ни в запросе на загрузку объекта, ни в конфигурации бакета, в который загружается объект, ни в конфигурации политики хранения, используемой бакетом, то к этому объекту не применяется шифрование на стороне системы.