Amazon S3 Express โซนเดียวรองรับ AWS-KMS ด้วยคีย์ที่ลูกค้าจัดการแล้ว
ตอนนี้ Amazon S3 Express โซนเดียวรองรับการเข้ารหัสฝั่งเซิร์ฟเวอร์ด้วย AWS Key Management Service (SSE-KMS) โดยใช้คีย์ที่ลูกค้าจัดการแล้ว ตามค่าเริ่มต้น S3 Express โซนเดียวจะเข้ารหัสออบเจ็กต์ทั้งหมดด้วยการเข้ารหัสฝั่งเซิร์ฟเวอร์โดยใช้คีย์ที่ S3 จัดการ (SSE-S3) การรองรับ S3 Express โซนเดียวสำหรับคีย์ที่ลูกค้าจัดการจะทำให้คุณมีตัวเลือกเพิ่มเติมในการเข้ารหัสและจัดการความปลอดภัยของข้อมูลตนเอง คีย์บัคเก็ต S3 จะเปิดใช้งานเสมอเมื่อคุณใช้ SSE-KMS กับ S3 Express โซนเดียวโดยไม่มีค่าใช้จ่ายเพิ่มเติม
เมื่อใช้คีย์ที่ลูกค้าจัดการ คุณสามารถกำหนดนโยบายหลักที่กำกับดูแลบทบาทใน IAM ที่สามารถถอดรหัสข้อมูลของตนเองได้ และดูการบัญชีแบบเต็มรูปแบบใน AWS CloudTrail ของคีย์เฉพาะที่ใช้ในการเข้ารหัสและถอดรหัสข้อมูลของตน นอกจากนี้ KMS จะสร้างคีย์ระดับบัคเก็ตด้วยคีย์บัคเก็ต S3 แทนคีย์ KMS แต่ละรายการสำหรับแต่ละออบเจ็กต์ที่เข้ารหัสด้วย KMS S3 Express โซนเดียวใช้คีย์บัคเก็ตนี้เพื่อรักษาความปลอดภัยของคีย์ข้อมูลที่ไม่ซ้ำกันที่ใช้ในการเข้ารหัสออบเจ็กต์ในบัคเก็ต โดยหลีกเลี่ยงความจำเป็นในการร้องขอ KMS เพิ่มเติมเพื่อดำเนินงานการเข้ารหัสให้เสร็จสมบูรณ์ วิธีการนี้จะส่งผลให้การรับส่งคำขอไปยัง KMS ลดลง ซึ่งทำให้คุณสามารถเข้าถึงออบเจ็กต์ที่เข้ารหัสใน S3 Express โซนเดียวได้ด้วยค่าใช้จ่ายเพียงน้อยนิด ในขณะที่ยังคงรักษาการเข้าถึงข้อมูลในเวลาระดับมิลลิวินาทีหนึ่งหลักเช่นเดิม
การรองรับ S3 Express โซนเดียวสำหรับ SSE-KMS โดยใช้คีย์ที่ลูกค้าจัดการพร้อมให้ใช้งานใน AWS Region ทุกแห่งที่มีคลาสพื้นที่จัดเก็บข้อมูลให้บริการ เริ่มต้นใช้งาน KMS สำหรับ S3 Express โซนเดียวโดยใช้ AWS CLI หรือ AWS SDK เพื่อระบุคีย์ที่ลูกค้าจัดการสำหรับบัคเก็ตไดเรกทอรี S3 ของคุณ หากต้องการเรียนรู้เพิ่มเติม โปรดไปที่คู่มือผู้ใช้ S3 และบล็อกข่าว AWS