Pun*_*cky 10 python amazon-s3 amazon-web-services boto3 amazon-kms
如果我 KMS 加密文件并将该文件推送到 S3 存储桶与使用 SSE KMS 加密将文件推送到 S3 存储桶有什么区别吗?
首先:KMS加密操作仅接受 4K 数据,因此它不是通用解决方案。
使用S3服务器端加密,S3后端将生成密钥,使用该密钥加密数据,使用KMS加密密钥,然后存储加密的数据和加密的密钥。当您读取数据时,它会执行相反的操作:使用 KMS 解密密钥,然后使用解密的密钥解密数据。
您可以自己实现相同的操作,将加密密钥存储在 S3 对象的元数据中。然而,这意味着您需要自己编写代码来进行对象加密,除非您熟悉加密,否则您可能会犯错误。
客户端加密有一些有限的用例,但在这些情况下,您将使用KMS未提供的加密密钥。