数据加密 (SSE)

MinIO 服务器端加密 (SSE) 在写入操作中保护对象，允许客户端利用服务器的处理能力在存储层（静态加密）保护对象。SSE 还为围绕安全锁定和擦除的法规和合规性要求提供了关键功能。

MinIO SSE 使用 MinIO 密钥加密服务 (KES) 和外部密钥管理服务 (KMS) 来大规模执行安全的加密操作。MinIO 也支持客户端管理的密钥管理，即由应用程序全权负责创建和管理用于 MinIO SSE 的加密密钥。

MinIO 支持以下 KMS 作为中央密钥存储

MinIO SSE 需要启用网络加密 (TLS)。

支持的加密类型

MinIO SSE 在功能和 API 上与 AWS 服务器端加密兼容，并支持以下加密策略

SSE-KMS 推荐

MinIO 支持使用存储在外部 KMS 上的特定外部密钥 (EK)，对写入存储桶的所有对象启用自动 SSE-KMS 加密。客户端可以通过在写入操作中指定一个显式密钥来覆盖存储桶默认的 EK。

对于没有自动 SSE-KMS 加密的存储桶，客户端可以在写入操作中指定一个 EK。

MinIO 在启用服务器端加密时会对后端数据进行加密。一旦启用 SSE-KMS 加密，您将无法禁用它。

与 SSE-S3 和 SSE-C 相比，SSE-KMS 提供了更精细、更可定制的加密，因此推荐使用此方法而不是其他支持的加密方法。

有关在本地（非生产）MinIO 部署中启用 SSE-KMS 的教程，请参阅快速入门。

SSE-S3

MinIO 支持使用存储在外部 KMS 上的 EK，对写入存储桶的所有对象启用自动 SSE-S3 加密。MinIO SSE-S3 支持为整个部署使用一个EK。

对于没有自动 SSE-S3 加密的存储桶，客户端可以在写入操作中请求 SSE 加密。

MinIO 在启用服务器端加密时会对后端数据进行加密。一旦启用 SSE-KMS 加密，您将无法禁用它。

有关在本地（非生产）MinIO 部署中启用 SSE-S3 的教程，请参阅快速入门。

SSE-C

客户端在对对象进行写入操作时指定一个 EK。MinIO 使用指定的 EK 来执行 SSE-S3。

SSE-C 不支持存储桶默认加密设置，并要求客户端执行所有密钥管理操作。