資料加密 (SSE)

MinIO 伺服器端加密 (SSE) 作為寫入操作的一部分來保護物件，讓用戶端能夠利用伺服器處理能力來保護儲存層的物件（靜態加密）。SSE 也為關於安全鎖定和清除的法規和合規性要求提供關鍵功能。

MinIO SSE 使用 MinIO 金鑰加密服務 (KES) 和外部金鑰管理服務 (KMS) 來大規模執行安全的加密操作。MinIO 也支援用戶端管理的金鑰管理，在這種情況下，應用程式完全負責建立和管理用於 MinIO SSE 的加密金鑰。

MinIO 支援下列 KMS 作為中央金鑰儲存區

MinIO SSE 需要啟用網路加密 (TLS)。

支援的加密類型

MinIO SSE 在功能和 API 上與 AWS 伺服器端加密相容，並支援下列加密策略

SSE-KMS 建議

MinIO 支援使用儲存在外部 KMS 上的特定外部金鑰 (EK)，對寫入儲存桶的所有物件啟用自動 SSE-KMS 加密。用戶端可以透過在寫入操作中指定明確的金鑰來覆寫儲存桶預設的 EK。

對於沒有自動 SSE-KMS 加密的儲存桶，用戶端可以改為在寫入操作中指定 EK。

MinIO 會在啟用伺服器端加密時加密後端資料。啟用 SSE-KMS 加密後，您無法停用它。

與 SSE-S3 和 SSE-C 相比，SSE-KMS 提供更精細和可自訂的加密，並且建議使用其他支援的加密方法。

如需在本地（非生產）MinIO 部署中啟用 SSE-KMS 的教學課程，請參閱快速入門。

SSE-S3

MinIO 支援使用儲存在外部 KMS 上的 EK，對寫入儲存桶的所有物件啟用自動 SSE-S3 加密。MinIO SSE-S3 支援整個部署一個 EK。

對於沒有自動 SSE-S3 加密的儲存桶，用戶端可以改為在寫入操作中要求 SSE 加密。

MinIO 會在啟用伺服器端加密時加密後端資料。啟用 SSE-KMS 加密後，您無法停用它。

如需在本地（非生產）MinIO 部署中啟用 SSE-S3 的教學課程，請參閱快速入門。

SSE-C

用戶端在物件的寫入操作中指定 EK。MinIO 使用指定的 EK 來執行 SSE-S3。

SSE-C 不支援儲存桶預設加密設定，並且要求用戶端執行所有金鑰管理操作。