哪種 AWS S3 加密技術提供加密密鑰的輪換策略?
[英]Which AWS S3 Encryption technique provides rotation policy for encryption keys?
問題描述
在 AWS S3 加密中——哪種技術為加密密鑰提供輪換策略?
我正在閱讀推薦的是 SSE-KMS,但在某些地方會問到諸如“Amazon SSE-S3 密鑰輪換如何工作?”之類的問題。
那么哪個支持密鑰輪換,如果兩者都支持密鑰輪換,則推薦哪一個?
1 個解決方案
解決方案1
2 已采納 2020-08-19 01:20:54
有幾種方法可以加密 S3 對象(或對存儲桶進行默認加密)。 下面我只提到服務器端加密(即在 AWS 端執行,而不是客戶端):
SSE-S3 - 免費並使用AWS 擁有的CMK(CMK = 客戶主密鑰)。 加密密鑰由 AWS 擁有和管理,並在多個賬戶之間共享。 它的旋轉是自動的,隨着時間的變化而變化,如下表所示。 時間沒有明確定義。
SSE-KMS - 有兩種風格:
- AWS 管理的 CMK 。 這是僅為您的賬戶生成的免費 CMK。 您只能查看它的策略和審核使用情況,而不能對其進行管理。 輪換是自動的——每 1095 天(3 年)一次,
- 客戶管理的 CMK 。 這使用您自己創建並可以管理的密鑰。 默認情況下不啟用旋轉。 但是如果啟用它,它將每 1 年自動輪換一次。 此變體還可以使用您導入的密鑰材料。 如果您使用導入材料創建此類密鑰,則不會自動輪換。 只能手動旋轉。
SSE-C - 客戶提供的密鑰。 加密密鑰完全由您在 AWS 之外管理。 AWS 不會輪換它。
推薦哪個?
這取決於。 我會說通常SSE-S3就足夠了,它簡化了很多操作,例如對加密對象的跨賬戶訪問。 但由於一些外部要求(監管問題),必須使用其他加密選項。
例如,您可能需要每 6 個月輪換一次加密密鑰。 在這種情況下,SSE-S3 或帶有 AWS 托管 CMK 的 SSE-KMS 都適用,您必須使用帶有客戶托管密鑰的 KMS 並手動輪換它。
無法將aws-glue腳本存儲在具有加密策略的S3存儲桶中
[英]Cannot store aws-glue script in an S3 Bucket that has encryption policy
帶有 x-amz-server-side-encryption 策略的 aws s3 存儲桶中的問題不允許 rails5 上傳圖像,但允許在 rails4 中
[英]Issue in aws s3 bucket with x-amz-server-side-encryption policy not allowing rails5 to upload images but allows in rails4
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.