一、S3 加密

服务端加密

服务器端加密是由吸收数据的应用程序或服务在数据目的地对数据举行加密。Amazon S3 在将您的数据写入数据中心内的磁盘时会在工具级别上加密这些数据,并在您接见这些数据时为您解密这些数据。只要您验证了您的请求而且拥有接见权限,您接见加密和未加密工具的方式就没有区别。例如,如果您使用预署名的 URL 来共享您的工具,那么对于加密和解密工具,该 URL 的工作方式是相同的。此外,在您列出存储桶中的工具时,列表 API 会返回所有工具的列表(无论工具是否加密)。

注重
您不能对统一个工具应用差别类型的服务器端加密。

您有三个互斥选项,详细取决于您选择若何治理加密密钥:

具有 Amazon S3 托管密钥的服务器端加密 (SSE-S3)

当您使用具有 Amazon S3 托管密钥的服务器端加密 (SSE-S3) 时,每个工具均使用唯一密钥加密。作为分外的珍爱,它将使用定期轮换的主密钥对密钥自己举行加密。Amazon S3 服务器端加密使用可用的最强数据块密码之一(即 256 位高级加密尺度 (AES-256))来加密您的数据。有关更多信息,请参阅使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 珍爱数据。

  • 每个工具使用唯一数据秘钥加密

在 AWS Key Management Service 中存储客户主密钥 (CMK) 的服务器端加密 (SSE-KMS)

在 AWS Key Management Service 中存储客户主密钥 (CMK) 的服务器端加密 (SSE-KMS) 与 SSE-S3 类似,使用该服务具有一些分外的利益,但也要分外收取用度。使用 CMK 需要单独的权限,该密钥可进一步防止未经授权地接见 Amazon S3 中的工具。SSE-KMS 还向您提供审核跟踪,显示您的 CMK 的使用时间和使用者。此外,您还可以创建和治理客户托管 CMK,或者使用您、服务和区域独占的 AWS 托管 CMK。有关更多信息,请参阅使用具有 AWS Key Management Service 中存储的 CMK 的服务器端加密 (SSE-KMS) 珍爱数据。

  • 每个工具使用唯一数据秘钥加密

具有客户提供密钥的服务器端加密 (SSE-C)

使用具有客户提供密钥的服务器端加密 (SSE-C) 时,您治理加密密钥,而 Amazon S3 治理加密(在它对磁盘举行写入时)和解密(在您接见您的工具时)。有关更多信息,请参阅通过使用客户提供的加密密钥的服务器端加密 (SSE-C) 珍爱数据。

,

联博统计

www.yecailei.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。

,
  • 所有工具使用相同的秘钥加密(客户端提供的)

客户端加密

客户端加密 是在将数据发送到 Amazon S3 之前加密数据的行为。要启用客户端加密,您可以选择以下方式:

使用 AWS KMS 中存储的 CMK

在上传工具时 — 通过使用客户主密钥 (CMK) ID,客户端先向 AWS KMS 发送请求以获取可用于加密工具数据的 CMK。AWS KMS 返回两个随机天生的数据密钥版本:

  • 客户端用于加密工具数据的数据密钥的纯文本版本
  • 客户端将作为工具元数据上传到 Amazon S3 的统一数据密钥的密码 blob

下载工具时 — 客户端首先从 Amazon S3 下载加密的工具以及作为工具元数据存储的数据密钥的密码 blob 版本。然后,客户端将密码 blob 发送到 AWS KMS 以获取密钥的纯文本版本,以便让客户端解密工具数据。

客户端将为其上传的每个工具获取一个唯一的数据密钥。

使用在应用程序中存储的主密钥

  • 上传工具时 — 将客户端主密钥提供给 Amazon S3 加密客户端。该客户端仅使用该主密钥来加密客户端随机天生的数据加密密钥。该历程的工作方式如下所示:
    1. Amazon S3 加密客户端在内陆天生一个一次性对称密钥 (也称为“数据加密密钥”或“数据密钥”)。它使用数据密钥加密单个 Amazon S3 工具的数据。该客户端将为每个工具天生一个单独的数据密钥。
    2. 该客户端使用您提供的主密钥来加密数据加密密钥。客户端会将加密的数据密钥及其质料说明作为工具元数据的一部分上传。该客户端行使质料形貌来确定要用于解密的客户端主密钥。
    3. 该客户端将加密数据上传到 Amazon S3 并在 Amazon S3 中将加密数据密钥保存为工具元数据 (x-amz-meta-x-amz-key)。
  • 下载工具时 — 该客户端从 Amazon S3 下载加密的工具。通过使用工具元数据中的质料说明,该客户端将确定要用于解密数据密钥的主密钥。该客户端将使用该主密钥解密数据密钥,然后使用该数据密钥对工具举行解密。

您提供的客户端主密钥可以是对称密钥,也可以是公有/私有密钥对。