如果你没有指定的customer managed key客户管理密钥，Amazon S3会自动创建一个，之后会默认使用这么密钥完成加密。你也可以在SSE-KMS中使用创建一个客户管理的钥匙。这样，你能有更多的灵活性和控制。例如，你可以创建、轮换和禁用客户管理钥匙。你也可以定义访问控制和审计这个客户管理密钥。

Protecting data using server-side encryption with AWS Key Management Service keys (SSE-KMS) - Amazon Simple Storage ServiceAmazon Simple Storage Service

Amazon S3 Bucket Keys

你可以配置S3 Bucket Keys for SSE-KMS来加密你的S3存储桶，使用桶级别的密钥可以节省成本最高达99%。参见 Reducing the cost of SSE-KMS with Amazon S3 Bucket Keys.

注意

Amazon S3 只支持对称加密KMS密钥。
当你使用 SSE-KMS 加密S3 存储桶时，这个AWS KMS keys 必须和桶在同一个区域。
要上传用AWS KMS密钥加密的对象到Amazon S3，你需要密钥的kms:GenerateDataKey的权限。要下载一个用AWS KMS密钥加密的对象，你需要kms:Decrypt权限。有关多部分上传所需的AWS KMS权限的信息，请参阅Multipart upload API and permissions。

Server-side encryption with customer-provided keys (SSE-C)

在这种加密方案中，你在上传对象时提供加密密钥，AWS承诺立即忘记它。因此，当你检索对象时，你需要发送相同的密钥。

这改变了上传对象的命令。除了桶和密钥外，你还需要定义算法、密钥和密钥的MD5。假设你使用gL6RsUG2fPElqDyMghs1yCrRJMJFLgR9MN密钥进行加密的请求实例：

aws s3api put-object \
	--bucket <bucket> \
	--key <key> \
	--body text.txt \
	--sse-customer-algorithm "AES256" \
	--sse-customer-key gL6RsUG2fPElqDyMghs1yCrRJMJFLgR9MN/Z8vjALUI= \
	--sse-customer-key-md5 XaroTmmABjK75669+kj/xw==

配置完成以后，你再获取对象的时候需要加密密钥。如果你不这样做，S3服务会报告一个错误：

An error occurred (InvalidRequest) when calling the GetObject operation: The object was stored using a form of Server Side Encryption. The correct parameters must be provided to retrieve the object.

正确的获取方式如下：

aws s3api get-object \
	--bucket <bucket> \
	--key <key> \
	--sse-customer-algorithm "AES256" \
	--sse-customer-key gL6RsUG2fPElqDyMghs1yCrRJMJFLgR9MN/Z8vjALUI= \
	--sse-customer-key-md5 XaroTmmABjK75669+kj/xw== \
	/dev/stderr > /dev/null

contents

Client-side encryption with an AWS KMS-managed CMK

确保上传的文件都经过了加密

如果制定了规范，用于存储敏感数据的Amazon S3桶中的所有对象进行服务器端加密，可以使用桶策略。例如，如果请求没有x-amz-server-side-encryption头，也就是要求用SSE-KMS进行服务器端加密。下面的桶策略Bucket policy将拒绝每个人的上传对象（s3:PutObject）的权限，

当你上传一个对象时，你可以通过使用x-amz-server-side-encryption-aws-kms-key-id头来指定KMS密钥。这样如果上传文件的时候没有使用SSE-KMS的方式加密，Amazon S3将拒绝该请求。其中 "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",替换成你需要管理的S3存储桶。

{
   "Version":"2012-10-17",
   "Id":"PutObjectPolicy",
   "Statement":[{
         "Sid":"DenyUnEncryptedObjectUploads",
         "Effect":"Deny",
         "Principal":"*",
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
         "Condition":{
            "StringNotEquals":{
               "s3:x-amz-server-side-encryption":"aws:kms"
            }
         }
      }
   ]
}

你还可以通过使用加密密钥的Amazon Resource Name (ARN) 比如 arn:aws:kms:region:acct-id:key/key-id 来指定用于加密的密钥必须是哪一个。其中 "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",替换成你需要管理的S3存储桶。加密密钥的ARN也注意需要进行替换。

// with specified key id
{
    "Sid": "EnforceKMS",
    "Effect": "Deny",
    "Principal": "*",
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::BUCKET_NAME/*",
    "Condition": {
        "StringNotLikeIfExists": {
            "s3:x-amz-server-side-encryption-aws-kms-key-id": "KEY_ARN"
        }
    }
}

https://repost.aws/knowledge-center/s3-bucket-store-kms-encrypted-objects

This workshop aims to prepare you for working with KMS and CloudHSM with hands-on capabilities. Go through each section within your own AWS accounts, and use the newly deployed EC2 instance as a disposable environment.

- 加密密钥选择

AWS KMS keys

AWS KMS keys (KMS keys)是AWS托管的加密密钥，你可以用加密密钥完成对数据的加密和解密操作。

对称KMS密钥的密钥材料和非对称KMS密钥的私钥永远不会离开AWS KMS，因此你不能提取、导出、查看或管理KMS keys的私钥。如果需要完全自定义管理密钥，则可以考虑CloudHSM这个产品。你可以将你自己的密钥材料导入KMS key，或使用自定义密钥存储来创建KMS密钥，这些密钥使用你的AWS CloudHSM集群中的密钥材料，或你在AWS之外拥有和管理的外部密钥管理器中的密钥材料。

AWS KMS还支持多区域密钥 multi-Region keys，让你在一个AWS区域加密数据，在另一个AWS区域解密。

关于如何使用AWS KMS keys可以参考此文档：AWS Key Management Service API Reference.

参考资料

How can I secure the files in my Amazon S3 bucket?

How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data

Architecting for database encryption on AWS

上一页关系型数据库字段级加密下一页数据完整性校验

最后更新于11个月前

- 传输加密

ALB

EC2

S3

数据库

API接口

CloudFront

Amazon ECS

- 静态加密

S3静态加密

Amazon S3-Managed Keys (SSE-S3)

AWS KMS-Managed Keys (SSE-KMS)