[英]Which AWS S3 Encryption technique provides rotation policy for encryption keys?
在 AWS S3 加密中——哪種技術為加密密鑰提供輪換策略?
我正在閱讀推薦的是 SSE-KMS,但在某些地方會問到諸如“Amazon SSE-S3 密鑰輪換如何工作?”之類的問題。
那么哪個支持密鑰輪換,如果兩者都支持密鑰輪換,則推薦哪一個?
有幾種方法可以加密 S3 對象(或對存儲桶進行默認加密)。 下面我只提到服務器端加密(即在 AWS 端執行,而不是客戶端):
SSE-S3 - 免費並使用AWS 擁有的CMK(CMK = 客戶主密鑰)。 加密密鑰由 AWS 擁有和管理,並在多個賬戶之間共享。 它的旋轉是自動的,隨着時間的變化而變化,如下表所示。 時間沒有明確定義。
SSE-KMS - 有兩種風格:
SSE-C - 客戶提供的密鑰。 加密密鑰完全由您在 AWS 之外管理。 AWS 不會輪換它。
推薦哪個?
這取決於。 我會說通常SSE-S3
就足夠了,它簡化了很多操作,例如對加密對象的跨賬戶訪問。 但由於一些外部要求(監管問題),必須使用其他加密選項。
例如,您可能需要每 6 個月輪換一次加密密鑰。 在這種情況下,SSE-S3 或帶有 AWS 托管 CMK 的 SSE-KMS 都適用,您必須使用帶有客戶托管密鑰的 KMS 並手動輪換它。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.