物件的伺服器端加密

MinIO 伺服器端加密 (SSE) 保護物件是寫入操作的一部分，讓客戶可以利用伺服器處理能力來保護儲存層的物件（靜態加密）。SSE 還提供與安全鎖定和抹除相關的法規和合規性要求的關鍵功能。

MinIO SSE 使用 MinIO 金鑰加密服務 (KES) 和外部金鑰管理服務 (KMS)，以便大規模執行安全加密操作。MinIO 也支援客戶管理的金鑰管理，其中應用程式完全負責建立和管理用於 MinIO SSE 的加密金鑰。

MinIO SSE 在功能和 API 上與 AWS 伺服器端加密相容，並支援下列加密策略

SSE-KMS 建議

MinIO 支援使用儲存在外部 KMS 上的特定外部金鑰 (EK)，對寫入到儲存貯體的所有物件啟用自動 SSE-KMS 加密。客戶可以透過在寫入操作中指定明確的金鑰，來覆寫儲存貯體預設的 EK。

對於沒有自動 SSE-KMS 加密的儲存貯體，客戶可以改為在寫入操作中指定 EK。

MinIO 在啟用伺服器端加密時會加密後端資料。一旦啟用 SSE-KMS 加密後，您就無法停用它。

與 SSE-S3 和 SSE-C 相比，SSE-KMS 提供更精細和可自訂的加密，因此建議使用它，而不是其他支援的加密方法。

如需在本地（非生產）MinIO 部署中啟用 SSE-KMS 的教學課程，請參閱快速入門。對於生產 MinIO 部署，請使用下列其中一份指南

SSE-S3

MinIO 支援使用儲存在外部 KMS 上的 EK，對寫入到儲存貯體的所有物件啟用自動 SSE-S3 加密。MinIO SSE-S3 針對整個部署支援一個 EK。

對於沒有自動 SSE-S3 加密的儲存貯體，客戶可以改為在寫入操作中請求 SSE 加密。

MinIO 在啟用伺服器端加密時會加密後端資料。一旦啟用 SSE-KMS 加密後，您就無法停用它。

如需在本地（非生產）MinIO 部署中啟用 SSE-s3 的教學課程，請參閱快速入門。對於生產 MinIO 部署，請使用下列其中一份指南

SSE-C

客戶端會在物件寫入操作時指定一個外部金鑰 (EK)。MinIO 會使用指定的 EK 執行 SSE-S3 加密。

SSE-C 不支援儲存桶預設加密設定，並且需要客戶端執行所有金鑰管理操作。

MinIO SSE 需要啟用網路加密 (TLS)。

安全抹除與鎖定

MinIO 需要存取在 SSE 操作中用於解密物件的加密金鑰 (EK) 以及外部金鑰管理系統 (KMS)。您可以利用這個依存關係，透過停用對用於加密的 EK 或 KMS 的存取權限，安全地抹除和鎖定物件，使其無法被存取。

一般策略包括但不限於：

封鎖金鑰管理系統 (KMS)，使其無法再被 MinIO 伺服器存取。這會鎖定所有受 KMS 上儲存的任何 EK 保護的 SSE-KMS 或 SSE-S3 加密物件。只要 KMS 保持封鎖狀態，加密的物件就無法讀取。
封鎖/卸載 EK。這會鎖定所有受該 EK 保護的 SSE-KMS 或 SSE-S3 加密物件。只要 CMK(s) 保持封鎖狀態，加密的物件就無法讀取。
刪除 EK。這會使所有受該 EK 保護的 SSE-KMS 或 SSE-S3 加密物件永久無法讀取。刪除 EK 和刪除資料的組合可能符合有關安全刪除資料的法規要求。

刪除 EK 通常是不可逆的。在有意刪除主金鑰之前，請務必格外謹慎。

欲了解更多資訊，請參閱：