网格管理器中的密钥管理服务器（ KMS ）

您 "配置密钥管理服务器" 对于StorageGRID 站点、请执行以下操作：和 "为此设备启用节点加密"。然后，设备节点将连接到 KMS 以请求密钥加密密钥（ Key Encryption Key ， KEK ）。此密钥用于对每个卷上的数据加密密钥（ DEK ）进行加密和解密。

安装期间启用了 * 节点加密 * 的设备节点。设备上的所有数据均可防止物理丢失或从数据中心删除。

SANtricity System Manager 中的驱动器安全性

如果为SG5700或SG6000存储设备启用了驱动器安全性功能、则可以使用 "SANtricity 系统管理器" 以创建和管理安全密钥。要访问受保护驱动器上的数据，需要使用此密钥。

具有全磁盘加密(Full Disk Encryption、FD)驱动器或FIPS驱动器的存储设备。安全驱动器上的所有数据均可防止物理丢失或从数据中心中删除。不能用于某些存储设备或任何服务设备。

存储对象加密

您可以启用 "存储对象加密" 选项。启用后、在存储分段级别或对象级别未加密的任何新对象都会在数据导入期间进行加密。

新载入的 S3 和 Swift 对象数据。

现有存储对象未加密。对象元数据和其他敏感数据不会加密。

S3 存储分段加密

问题描述 PUT 分段加密请求以对分段启用加密。在对象级别未加密的任何新对象都会在导入期间进行加密。

仅新载入的 S3 对象数据。

必须为存储分段指定加密。现有存储分段对象未加密。对象元数据和其他敏感数据不会加密。

"对存储分段执行的操作"

S3 对象服务器端加密（ SS3 ）

您可以问题描述 S3请求以存储对象并包括 x-amz-server-side-encryption 请求标题。

仅新载入的 S3 对象数据。

必须为对象指定加密。对象元数据和其他敏感数据不会加密。

StorageGRID 负责管理密钥。

"使用服务器端加密"

使用客户提供的密钥（ SSI-C ）进行 S3 对象服务器端加密

您可以问题描述 S3 请求以存储一个对象并包含三个请求标头。

仅新载入的 S3 对象数据。

必须为对象指定加密。对象元数据和其他敏感数据不会加密。

密钥在 StorageGRID 之外进行管理。

"使用服务器端加密"

外部卷或数据存储库加密

如果您的部署平台支持，则可以在 StorageGRID 外部使用加密方法对整个卷或数据存储库进行加密。

所有对象数据，元数据和系统配置数据，假设每个卷或数据存储库都已加密。

外部加密方法可以更严格地控制加密算法和密钥。可以与列出的其他方法结合使用。

StorageGRID 外部的对象加密

在将对象数据和元数据载入 StorageGRID 之前，您可以在 StorageGRID 外部使用加密方法对这些数据和元数据进行加密。

仅限对象数据和元数据（系统配置数据不加密）。

外部加密方法可以更严格地控制加密算法和密钥。可以与列出的其他方法结合使用。

"Amazon Simple Storage Service —开发人员指南：使用客户端加密保护数据"