数据加密（SSE）

MinIO 服务端加密（SSE）在写入操作过程中保护对象，使客户端能够利用服务器处理能力在存储层保护对象（静态加密）。SSE 还为安全锁定和擦除方面的法规与合规要求提供关键功能。

MinIO SSE 使用MinIO Key Encryption Service (KES)以及一个外部密钥管理服务（KMS），用于大规模执行安全加密操作。MinIO 还支持客户端管理的密钥管理，其中应用程序全权负责创建和管理用于 MinIO SSE 的加密密钥。

MinIO 支持以下KMS作为中央密钥存储：

MinIO SSE 需要启用网络加密（TLS）.

支持的加密类型

MinIO SSE 在功能和 API 上与AWS Server-Side Encryption并且支持以下加密策略：

SSE-KMS推荐

MinIO 支持使用存储在外部的外部密钥（EK）为写入存储桶的所有对象启用自动 SSE-KMS 加密KMS客户端可以覆盖存储桶默认设置EK通过在写入操作中指定显式键来实现。

对于没有自动SSE-KMS加密的存储桶，客户端可以指定EK作为写入操作的一部分。

MinIO 在启用服务器端加密时会对后端数据进行加密。一旦启用 SSE-KMS 加密，您将无法禁用它。

与 SSE-S3 和 SSE-C 相比，SSE-KMS 提供了更精细且可定制的加密功能，因此建议优先选择该加密方式而非其他支持的加密方法。

有关在本地（非生产）MinIO部署中启用SSE-KMS的教程，请参阅快速入门.

SSE-S3

MinIO 支持启用自动 SSE-S3 加密，对所有写入存储桶的对象进行加密EK存储在外部KMSMinIO SSE-S3 支持一 EK对于整个部署。

对于未启用自动 SSE-S3 加密的存储桶，客户端可以在写入操作中请求 SSE 加密作为替代方案。

MinIO 在启用服务器端加密时会对后端数据进行加密。一旦启用 SSE-KMS 加密，您将无法禁用它。

有关在本地（非生产）MinIO部署中启用SSE-s3的教程，请参阅快速入门.

SSE-C

Clients specify anEK作为对象写入操作的一部分。 MinIO 使用指定的EK执行 SSE-S3。

SSE-C不支持存储桶默认加密设置，并要求客户端执行所有密钥管理操作。