当我使用 AWS KMS 在 Amazon S3 存储桶上启用默认加密时,新的或现有的对象会怎样?

上次更新日期:2020 年 12 月 18 日

我想在 Amazon Simple Storage Service (Amazon S3) 存储桶上使用 AWS Key Management Service (AWS KMS) 启用默认加密。我已在存储桶中存储了对象。如果启用默认加密,现有对象的加密会怎样? 当我上传具有不同加密设置的新对象时会怎样?

解决方法

您在存储桶上启用默认 AWS KMS 加密后,Amazon S3 仅将默认加密应用于您上传的、未指定加密设置的新对象。

默认存储桶加密不会更改现有对象的加密设置。例如,如果您使用 AWS KMS (SSE-KMS) 在存储桶上启用服务器端加密,则存储桶中已有的所有未加密对象仍处于未加密状态。此外,已使用 SSE-KMS、SSE-S3 或 SSE-C 加密的所有对象均处于使用各自密钥加密的状态。

默认存储桶加密也不会覆盖上传新对象时指定的加密设置。例如,如果您使用默认 SSE-KMS 加密在存储桶的 PutObject 请求中指定 AES256 加密,则该对象会保持 AES256 加密 (SSE-S3) 状态。

如果您的存储桶已启用默认加密,但是您看到的是新上传的、具有不同加密设置的对象,请检查 AWS CloudTrail 数据事件日志。PUT、POST 和 InitiateMultipartUpload API 请求的日志都有 SSEApplied 字段。如果此字段的值为 Default_SSE_S3Default_SSE_KMS,则该对象已启用默认加密。如果值为 SSE_S3SSE_KMS,则该对象采用的是 PutObject 请求中指定的加密设置。

注意:要请求使用 SSE-KMS 上传的对象,您可以使用存储桶策略接入点策略或 AWS Organizations 服务控制策略。</p


这篇文章对您有帮助吗?


您是否需要账单或技术支持?