AWS現在更改Amazon S3對象加密行為,現在S3默認加密所有新的對象���,當用戶沒有特別指定加密方法����,自動對每一個新對象激活服務器端加密(SSE-S3)����。
AWS現在更改Amazon S3對象加密行為��,現在S3默認加密所有新的對象���,當用戶沒有特別指定加密方法���,自動對每一個新對象激活服務器端加密(SSE-S3)。目前這項更改已經在所有AWS地區(qū)生效���,包括AWS GovCloud和AWS中國地區(qū)�,用戶不需要對默認對象加密支付額外費用���。
S3服務器端加密會以完全透明的方式���,處理新對象的加密、解密和密鑰管理�,當用戶使用PUT方法上傳對象時,S3服務器會生成唯一密鑰����,以密鑰加密資料��,并使用根密鑰來加密該密鑰����。
官方提到����,這項更改是以自動化執(zhí)行最佳安全實踐,不會對性能產生影響�,用戶也不需要采取額外的措施,未使用默認加密的S3存儲桶��,現在會自動應用SSE-S3加密����,而原本就默認使用SSE-S3加密的存儲桶則不會有任何變化。
用戶還是可以根據需求����,從S3默認加密(SSE-S3)、客戶提供加密密鑰(SSE-C)與AWS密鑰管理服務密鑰(SSE-KMS)三種加密設置選擇需要的方法��,同時也能使用客戶端函數庫����,在客戶端加密對象��,以獲得額外的加密保護�。
SSE-S3使用由AWS所管理的256位元密鑰進行AES加密����,AWS提到���,雖然原本選擇性激活SSE-S3加密方法也很簡單����,但是選擇性的意思���,代表著用戶需要配置每一個存儲桶���,并且確保這些設置不會因為時間變更,對要求所有對象都使用SSE-S3加密的用戶���,這項默認加密更新不需要變更任何工具和客戶端配置����,就能符合加密法遵要求。
S3用戶已經可以從CloudTrail資料事件日志中�,看到此項變更帶來的變化,在接下來數周內��,用戶還可以從AWS管理控制臺���、S3 Inventory��、S3 Storage Lens�,還有AWS CLI和AWS SDK的附加標頭看到變更�。用戶可以配置CloudTrail記錄資料事件,來驗證存儲桶默認加密�,不過CloudTrail默認不記錄資料事件,激活該功能需要支付額外費用���。
閩公網安備 35010202001226號
