发布于: Jun 13, 2023
客户现在可以对 Amazon S3 中的对象应用两层独立的服务器端加密。使用存储在 AWS Key Management Service (DSSE-KMS) 中的密钥进行双层服务器端加密旨在满足国家安全局 CNSSP 15 的 FIPS 合规性标准以及静态数据功能包 (DAR CP) 5.0 版针对两层 CNSA 加密的指导意见。Amazon S3 是唯一一项允许客户在对象级别应用两层加密并控制用于两个加密层的数据密钥的云对象存储服务。诸如 DSSE-KMS 之类的 S3 功能经过审查和认可,可用于绝密工作负载,这使全球所有客户都能受益。
DSSE-KMS 简化了对数据应用两层加密的过程,而无需投资于客户端加密所需的基础设施。每层加密都使用具有 Galois Counter Mode (AES-GCM) 算法的 256 位高级加密标准的不同实现。DSSE-KMS 使用 AWS Key Management Service (KMS) 生成数据密钥,允许客户通过设置每个密钥的权限和指定密钥轮换计划来控制其客户托管密钥。借助 DSSE-KMS,客户现在可以使用 Amazon Athena、Amazon SageMaker 等 AWS 服务查询和分析其双加密数据。
DSSE-KMS 可在所有 AWS 区域使用,需要额外付费。有关定价信息,请访问 Amazon S3 和 AWS KMS 定价页面。要了解有关 Amazon S3 上所有可用加密选项的更多信息,请访问 S3 用户指南。有关 DSSE-KMS 的更多信息,请阅读 AWS 新闻博客。