lft*_*ryt 4 encryption amazon-s3 amazon-web-services
当我SSE-S3用AES256加密存储桶(对象)并将其公开时。桶中的物品可见。但是,AWS KMS并非如此,它会引发以下错误:
Requests specifying Server Side Encryption with AWS KMS managed keys require AWS Signature Version 4.
最终用户如何查看以AES256加密的对象?
将服务器端加密与Amazon S3托管密钥(SSE-S3)结合使用–每个对象都使用采用强大的多因素加密的唯一密钥进行加密。作为一项附加保护措施,它使用定期旋转的主密钥对密钥本身进行加密。Amazon S3服务器端加密使用可用的最强大的分组密码之一,256位高级加密标准(AES-256)来加密数据。
据此,我的理解是,如果对象被加密,则需要解密密钥,或者在AWS世界中需要访问正在对其解密的密钥。请说明AES256与KMS有何不同。(AWS在KMS上提供的关键策略除外)
无论您使用的是SSE-S3还是SSE-KMS,S3中的服务器端加密始终是AES256。
在这两种情况下,S3都使用密钥透明地加密对象以进行存储并根据请求解密对象。在两种情况下,访问该对象的用户都看不到加密的对象。
使用SSE-S3,S3拥有并控制密钥,因此上载或下载的权限包括对S3访问其访问对象所需的密钥的隐式许可。
无论您使用SSE-S3还是SSE-KMS,加密级别都是相同的,但是SSE-KMS对访问对象施加了更严格的安全约束,包括强制使用HTTPS和签名版本4。
| 归档时间: |
|
| 查看次数: |
3927 次 |
| 最近记录: |