Amazon S3 Express для одной зоны теперь поддерживает AWS-KMS с управляемыми клиентом ключами
Amazon S3 Express для одной зоны теперь поддерживает шифрование на стороне сервера в Сервисе управления ключами AWS (SSE-KMS) с использованием ключей, управляемых клиентом. По умолчанию S3 Express для одной зоны осуществляет шифрование всех объектов на стороне сервера с использованием ключей под управлением S3 (SSE-S3). Теперь же S3 Express для одной зоны поддерживает ключи, управляемые клиентом, предоставляя вам дополнительные возможности для шифрования и управления безопасностью данных. При использовании S3 Express для одной зоны с шифрованием SSE-KMS будут всегда включены ключи на уровне корзин S3 без дополнительной платы.
Управляемые клиентом ключи позволяют задавать политики использования ключей, определяющие, какие роли IAM имеют право на дешифровку ваших данных, а также просматривать в AWS CloudTrail полную отчетность о конкретных ключах, применяемых для шифрования и дешифровки. Помимо этого, сервис KMS генерирует ключ на уровне всей корзины S3 вместо отдельных ключей для каждого шифруемого KMS объекта. S3 Express для одной зоны использует этот ключ корзины, чтобы защитить уникальные ключи данных, применяемые для шифрования объектов в корзине, исключая необходимость в дополнительных запросах KMS для выполнения операций шифрования. За счет этого уменьшается трафик адресуемых к KMS запросов, что существенно сокращает затраты на доступ к зашифрованным объектам в S3 Express для одной зоны, при этом сохраняя скорость доступа к данным на уровне нескольких миллисекунд.
Поддержка SSE-KMS с использованием управляемых клиентом ключей в S3 Express для одной зоны доступна во всех регионах AWS, где доступен этот класс хранилища. Начать работу с KMS в S3 Express для одной зоны можно с помощью Интерфейса командной строки AWS (AWS CLI) или AWS SDK, указав управляемый клиентом ключ для вашей корзины каталогов S3. Дополнительные сведения см. в руководстве пользователя S3 и блоге AWS News.