Devo utilizzare una chiave gestita da AWS KMS o una chiave KMS gestita dal cliente per crittografare i miei oggetti su Amazon S3?

Ultimo aggiornamento: 01/11/2021

Desidero utilizzare la crittografia lato server con AWS Key Management Service (SSE-KMS) per i miei oggetti archiviati in Amazon Simple Storage Service (Amazon S3). Devo utilizzare una chiave AWS KMS gestita dal cliente? Oppure, devo usare la chiave gestita da AWS KMS chiamata aws/s3? Qual è la differenza tra i due?

Risoluzione

AWS KMS gestisce la chiave KMS aws/s3 di default, ma hai il pieno controllo su una chiave gestita dal cliente.

Usando la chiave KMS aws/s3 di default

Nota: il nome della chiave KMS è aws/s3 nella console Amazon S3, ma non è necessario specificare tale nome o ID se si utilizza AWS Command Line Interface (AWS CLI).

Prendi in considerazione l'utilizzo della chiave KMS aws/s3 di default se:

  • stai caricando o accedendo a oggetti S3 utilizzando i principali AWS Identity and Access Management (IAM) che si trovano nello stesso account AWS della chiave KMS.
  • Non vuoi gestire le policy per la chiave KMS.
  • Non vuoi ruotare la chiave KMS.

Per crittografare un oggetto utilizzando la chiave KMS aws/s3 di default, definire il metodo di crittografia come SSE-KMS durante il caricamento, ma non specificare una chiave:

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms

Nota: se si riceve un messaggio di errore durante l’esecuzione dei comandi AWS CLI, assicurarsi di utilizzare la versione più recente di AWS CLI.

Utilizzo di una chiave gestita dal cliente

Valuta l'utilizzo di una chiave gestita dal cliente se:

  • si desidera creare, ruotare, disabilitare o definire i controlli di accesso per la chiave.
  • Si desidera concedere l'accesso cross-account ai tuoi oggetti S3. È possibile configurare la policy di una chiave gestita dal cliente per permettere l'accesso da un altro account.

Per crittografare un oggetto utilizzando una chiave gestita dal cliente, definire il metodo di crittografia come SSE-KMS durante il caricamento. Quindi, specifica la chiave gestita dal cliente come chiave (—sse-kms-key-id):

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey

per controllare l'accesso alla chiave gestita dal cliente, modificare la policy chiave. Per ulteriori informazioni su come creare una policy chiave, vedi una policy chiave esemplificativa.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?