Amazon S3開(kāi)始默認(rèn)加密新對(duì)象

AWS現(xiàn)在更改Amazon S3對(duì)象加密行為，現(xiàn)在S3默認(rèn)加密所有新的對(duì)象，當(dāng)用戶沒(méi)有特別指定加密方法，自動(dòng)對(duì)每一個(gè)新對(duì)象激活服務(wù)器端加密（SSE-S3）。目前這項(xiàng)更改已經(jīng)在所有AWS地區(qū)生效，包括AWS GovCloud和AWS中國(guó)地區(qū)，用戶不需要對(duì)默認(rèn)對(duì)象加密支付額外費(fèi)用。

S3服務(wù)器端加密會(huì)以完全透明的方式，處理新對(duì)象的加密、解密和密鑰管理，當(dāng)用戶使用PUT方法上傳對(duì)象時(shí)，S3服務(wù)器會(huì)生成唯一密鑰，以密鑰加密資料，并使用根密鑰來(lái)加密該密鑰。

官方提到，這項(xiàng)更改是以自動(dòng)化執(zhí)行最佳安全實(shí)踐，不會(huì)對(duì)性能產(chǎn)生影響，用戶也不需要采取額外的措施，未使用默認(rèn)加密的S3存儲(chǔ)桶，現(xiàn)在會(huì)自動(dòng)應(yīng)用SSE-S3加密，而原本就默認(rèn)使用SSE-S3加密的存儲(chǔ)桶則不會(huì)有任何變化。

用戶還是可以根據(jù)需求，從S3默認(rèn)加密（SSE-S3）、客戶提供加密密鑰（SSE-C）與AWS密鑰管理服務(wù)密鑰（SSE-KMS）三種加密設(shè)置選擇需要的方法，同時(shí)也能使用客戶端函數(shù)庫(kù)，在客戶端加密對(duì)象，以獲得額外的加密保護(hù)。

SSE-S3使用由AWS所管理的256位元密鑰進(jìn)行AES加密，AWS提到，雖然原本選擇性激活SSE-S3加密方法也很簡(jiǎn)單，但是選擇性的意思，代表著用戶需要配置每一個(gè)存儲(chǔ)桶，并且確保這些設(shè)置不會(huì)因?yàn)闀r(shí)間變更，對(duì)要求所有對(duì)象都使用SSE-S3加密的用戶，這項(xiàng)默認(rèn)加密更新不需要變更任何工具和客戶端配置，就能符合加密法遵要求。

S3用戶已經(jīng)可以從CloudTrail資料事件日志中，看到此項(xiàng)變更帶來(lái)的變化，在接下來(lái)數(shù)周內(nèi)，用戶還可以從AWS管理控制臺(tái)、S3 Inventory、S3 Storage Lens，還有AWS CLI和AWS SDK的附加標(biāo)頭看到變更。用戶可以配置CloudTrail記錄資料事件，來(lái)驗(yàn)證存儲(chǔ)桶默認(rèn)加密，不過(guò)CloudTrail默認(rèn)不記錄資料事件，激活該功能需要支付額外費(fèi)用。