資料加密 (SSE)

MinIO 伺服器端加密 (SSE) 在寫入操作過程中保護物件，允許客戶利用伺服器處理能力在儲存層（靜態加密）保護物件。SSE 還為圍繞安全鎖定和刪除的法規和合規性要求提供金鑰功能。

MinIO SSE 使用 MinIO 金鑰加密服務 (KES) 和外部金鑰管理服務 (KMS)，以大規模執行安全密碼操作。MinIO 還支援客戶管理的金鑰管理，其中應用程式完全負責建立和管理用於 MinIO SSE 的加密金鑰。

MinIO 支援以下 KMS 作為中央金鑰儲存

MinIO SSE 需要啟用網路加密 (TLS)。

支援的加密類型

MinIO SSE 的功能和 API 與 AWS 伺服器端加密相容，並支援以下加密策略

SSE-KMS 建議

MinIO 支援使用儲存在外部 KMS 上的特定外部金鑰 (EK) 來啟用自動 SSE-KMS 加密所有寫入儲存桶的物件。客戶端可以透過指定明確金鑰作為寫入操作的一部分來覆寫儲存桶預設的 EK。

對於沒有自動 SSE-KMS 加密的儲存桶，客戶端可以指定 EK 作為寫入操作的一部分。

MinIO 在啟用伺服器端加密時加密後端數據。一旦啟用 SSE-KMS 加密，您就無法停用它。

與 SSE-S3 和 SSE-C 相比，SSE-KMS 提供更精細和可自訂的加密，建議優先於其他支援的加密方法。

有關在本地 (非生產) MinIO 部署中啟用 SSE-KMS 的教學，請參閱快速入門。

SSE-S3

MinIO 支援使用儲存在外部 KMS 上的 EK 來啟用自動 SSE-S3 加密所有寫入儲存桶的物件。MinIO SSE-S3 支援整個部署的一個 EK。

對於沒有自動 SSE-S3 加密的儲存桶，客戶端可以要求在寫入操作時進行 SSE 加密。

MinIO 在啟用伺服器端加密時加密後端數據。一旦啟用 SSE-KMS 加密，您就無法停用它。

有關在本地 (非生產) MinIO 部署中啟用 SSE-s3 的教學，請參閱快速入門。

SSE-C

客戶端指定 EK 作為物件寫入操作的一部分。MinIO 使用指定的 EK 執行 SSE-S3。

SSE-C 不支援儲存桶預設加密設定，並要求客戶端執行所有金鑰管理操作。