當我在 Amazon S3 儲存貯體上使用 AWS KMS 啟用預設加密時,新物件或現有物件會發生什麼情況?

1 分的閱讀內容
0

我在 Amazon Simple Storage Service (Amazon S3) 儲存貯體上使用 AWS Key Management Service (AWS KMS) 開啟了預設加密。我想知道加密或新的和現有物件會發生什麼。

解決方法

在儲存貯體上啟用預設 AWS KMS 加密之後,Amazon S3 只會將加密套用至新上傳的物件,且沒有加密設定。

預設儲存貯體加密不會變更現有物件的加密設定。例如,如果您在儲存貯體上使用 AWS KMS (SSE-KMS) 啟用伺服器端加密,則儲存貯體中的任何未加密物件都會保持未加密狀態。此外,任何已經透過 SSE-KMS、SSE-S3 或 SSE-C 加密的物件,都會在各自的金鑰中維持加密。

預設儲存貯體加密也不會覆寫您在上傳新物件時指定的加密設定。例如,如果您在使用預設 SSE-KMS 加密的儲存貯體的 PutObject 請求中指定 AES256 加密,則該物件會維持 AES256 加密 (SSE-S3)。

如果儲存貯體具有預設加密,但您看到新上傳的物件具有不同加密設定,請查看 AWS CloudTrail 資料事件日誌PUTPOSTInitiateMultipartUpload API 請求的日誌具有 SSEApplied 欄位。如果此欄位的值是 Default_SSE_S3Default_SSE_KMS,則物件會有預設加密。如果值是 SSE_S3SSE_KMS,則物件會在 PutObject 請求中指定加密設定。

注意: 若要要求使用者使用 SSE-KMS 上傳物件,請使用儲存貯體政策存取點政策或 AWS Organizations 服務控制政策

AWS 官方
AWS 官方已更新 1 年前