发布于: Feb 19, 2021
AWS Config 现在支持使用您提供的 AWS Key Management Service (KMS) 密钥或别名 Amazon Resource Name (ARN),对传输到 Amazon Simple Storage Service (S3) 存储桶的数据进行加密。默认情况下,AWS Config 会将配置历史记录和快照文件传输到您的 S3 存储桶,并使用 S3 AES-256 服务器端加密 (SSE-S3) 来对静态数据进行加密。在此版本中,如果您向 AWS Config 提供 KMS 密钥或别名 ARN,则AWS Config 将使用该 KMS 密钥而不是使用 AES-256 加密。
要开始使用,请创建一个 KMS 密钥,并配置其对 GenerateDataKey 和 Decrypt 的权限。然后,您可以使用您的 S3 KMS 密钥、ARN 或别名 ARN 来调用PutDeliveryChannel API,以向 AWS Config 提供 KMS 密钥。传输到 S3 存储桶的对象将通过 KMS CMKs 的服务器端加密进行加密。如果您没有向 AWS Config 提供 KMS 密钥或别名 ARN,那么 AWS Config 将默认使用 AES-256 加密对传输的数据进行加密。
现在,在所有商业 AWS 区域和 AWS GovCloud(美国),无需额外付费即可在 AWS Config 所使用的 S3 存储桶上进行 KMS 加密。
有关 AWS Config 的更多信息,请参阅 AWS Config 网页。
有关如何创建和配置 AWS Key Management Service (AWS KMS) 的更多信息,请参阅 AWS Key Management Service 文档。