Amazon S3 加密

使用具有 AWS KMS 托管密钥的服务器端加密 (SSE-KMS) 保护数据

SSE-KMS 的要点是:

  • 您可以选择自行创建和管理加密密钥,也可以选择使用由服务按区域级别为某个客户生成的唯一的默认服务密钥。
  • 响应中的 ETag 不是对象数据的 MD5。
  • 用于加密您的数据的数据密钥也会被加密并与它们保护的数据一起存储。
  • 可以从 AWS KMS 控制台创建、轮换或禁用可审核的主密钥。
  • AWS KMS 中的安全控制可帮助您满足与加密相关的合规性要求。

使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据

服务器端加密保护静态数据。Amazon S3 使用唯一的密钥来加密每个对象。作为额外的保护,它将使用定期轮换的主密钥对密钥本身进行加密。Amazon S3 服务器端加密使用可用的最强数据块密码之一(即 256 位高级加密标准 (AES-256))来加密您的数据。

如果需要对存储在存储桶中的所有对象执行服务器端加密,请使用存储桶策略。例如,以下存储桶策略拒绝上传对象的权限,除非请求包含用于请求服务器端加密的 x-amz-server-side-encryption 标头

通过使用客户提供的加密密钥的服务器端加密 (SSE-C) 保护数据

使用客户提供的加密密钥的服务器端加密 (SSE-C) 允许您设置自己的加密密钥。使用您作为请求的一部分提供的加密密钥,Amazon S3 在写入磁盘时管理加密并在您访问对象时管理解密。因此,您不需要维护任何代码来执行数据加密和解密。您只需管理您提供的加密密钥。

Amazon S3 不存储您提供的加密密钥,而是存储加密密钥添加了随机数据的 HMAC 值来验证未来的请求。无法使用添加了随机数据的 HMAC 值来推导出加密密钥的值或解密加密对象的内容。这意味着,如果您丢失加密密钥,则会失去该对象。

SSE-C 的要点是:

  • 您必须使用 HTTPS。

    重要

    在使用 SSE-C 时,Amazon S3 会拒绝通过 HTTP 提出的所有请求。出于安全原因,我们建议您考虑您错误地使用 HTTP 发送的任何密钥都将被外泄。您应丢弃该密钥,并根据需要轮换密钥。

  • 响应中的 ETag 不是对象数据的 MD5。
  • 您管理哪个加密密钥用于加密哪个对象的映射。Amazon S3 不存储加密密钥。您负责跟踪为哪个对象提供了哪个加密密钥。
    • 如果您的存储桶启用了版本控制,则您使用此功能上传的每个对象版本可能都具有自己的加密密钥。您负责跟踪哪个加密密钥用于哪个对象版本。
    • 因为您在客户端管理加密密钥,所以也要在客户端管理所有额外的保护措施,例如密钥轮换。

    警告

    如果您丢失加密密钥,则针对某个对象的没有其加密密钥的任何 GET 请求都会失败,并且您将失去该对象。

原文地址:https://www.cnblogs.com/cloudrivers/p/11258401.html

时间: 2024-11-10 15:49:15

Amazon S3 加密的相关文章

Amazon S3

1. Buckets: Buckets form the top-level namespace for Amazon S3, and bucket names are global. This means that your bucket names must be unique across all AWS accounts, much like Domain Name System (DNS) domain names, not just within your own account.

启用版本控制后,Amazon S3 对存储桶请求的 HTTP 503 响应显著增加

如果您注意到启用版本控制后,Amazon S3 对存储桶的 PUT 或 DELETE 对象请求的 HTTP 503 慢速响应数量显著增加,那么存储桶中可能有一个或多个对象有数以百万计的版本.如果您的对象有数以百万计的版本,Amazon S3 会自动限制对该存储桶的请求,以防止客户的请求流量过多,但也可能会妨碍对该存储桶的其他请求. 要确定哪些 S3 对象有数以百万计的版本,可以使用 Amazon S3 清单工具.清单工具可以生成一份报告,提供存储桶中对象的平面文件列表.有关更多信息,请参阅 Am

cosbench read异常解决办法。 Unable to verify integrity of data download. Client calculated content hash didn't match hash calculated by Amazon S3. The data may be corrupt.

问题:cosbench read测试failed 报错如下 Cosbench v0.4.2.c4 against Ceph (Hammer) / radosgw / HAproxy's HTTP end point. All seems fine except that at the end of the read test, it failed the task and gave following errors com.amazonaws.AmazonClientException: Una

Amazon S3 云服务

一.简介 Amazon Simple Storage Service (S3) 是一个公开的服务,Web 应用程序开发人员可以使用它存储数字资产,包括图片.视频.音乐和文档. S3 提供一个 RESTful API 以编程方式实现与该服务的交互.通过本文,您将了解如何使用开源的 JetS3t 库利用 Amazon 的 S3 云服务存储和检索数据. 二.方法步骤 http://www.chinacloud.cn/show.aspx?id=2422&cid=12 三.S3客户端 1)Linux下通过

amazon s3 学习 python

amazon s3 全称为 亚马逊简易存储服务(Amazon Simple Storage Service) 简单的说就是个网上存文件的服务器,可以把自己文件放上去,然后通过它开放的api来进行管理.官方网站是http://aws.amazon.com/cn/s3/ 在s3上面有一个bucket,我的理解就是模块化,因为那个东西很大,如果我要存在音乐文件和安装包,和在一起放的话会很乱,就用bucket来分一下模块.这样后台也可以更好的管理.对于开发者也可以只开放对于的模块,安全性也得到提高.还有

Amazon S3的数据一致性模型

关于Amazon S3的数据一致性模型有两种: 最终一致性和读写一致性. 有以下几种行为: 1 写一个新的object,然后开始读它,直到所有的变化都传播完(副本),你才能读到它,否则就是key does not exist. 2 写一个新的object,然后listkeys,直到所有的变化都传播完,你才能看到它. 3 覆盖一个已有的object,然后开始读它,直到所有的变化都传播完,你才能拿到最新的object,否则就是老的. 4 删除一个object,直到所有的变化都传播完,你读它,才会产生

CloudFusion,支持Dropbox, Sugarsync, Amazon S3, Google Storage, Google Drive or WebDAV

Linux file system (FUSE) to access Dropbox, Sugarsync, Amazon S3, Google Storage, Google Drive or WebDAV servers. http://joe42.github.com/CloudFusion/https://github.com/joe42/CloudFusion -------------------------------------------------Fuse也是一个办法: A

asp.net core系列 69 Amazon S3 资源文件上传示例

原文:asp.net core系列 69 Amazon S3 资源文件上传示例 一.  上传示例 Amazon Simple Storage Service 是互联网存储解决方案.该服务旨在降低开发人员进行网络规模级计算的难度. Amazon S3 提供了一个简单 Web 服务接口,可用于随时在 Web 上的任何位置存储和检索任何数量的数据.此服务让所有开发人员都能访问同一个具备高扩展性.可靠性.安全性和快速价廉的数据存储基础设施, Amazon 用它来运行其全球的网站网络.此服务旨在为开发人员

使用 Amazon S3 阻止公有访问

Amazon S3 提供用于存储桶和账户的阻止公有访问设置,以帮助您管理对 Amazon S3 资源的公有访问.默认情况下,新存储桶和对象不允许公有访问,但用户可以通过修改存储桶策略或对象权限来允许公有访问.Amazon S3 阻止公有访问设置可覆盖这些策略和权限,以便于您限制对这些资源的公有访问.借助 Amazon S3 阻止公有访问,账户管理员和存储桶所有者可以轻松设置集中控制,来控制对已实施 Amazon S3 资源的公有访问(与资源的创建方式无关). When Amazon S3 rec