Menentukan enkripsi sisi server dengan AWS KMS (SSE-KMS) untuk unggahan objek baru di ember direktori - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menentukan enkripsi sisi server dengan AWS KMS (SSE-KMS) untuk unggahan objek baru di ember direktori

Untuk bucket direktori, untuk mengenkripsi data Anda dengan enkripsi sisi server, Anda dapat menggunakan enkripsi sisi server dengan SSE kunci terkelola Amazon S3 (-S3) (default) atau enkripsi sisi server dengan AWS Key Management Service (AWS KMS) kunci (SSE-KMS). Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam CreateSession permintaan atau permintaan PUT objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat Menentukan enkripsi sisi server dengan AWS KMS untuk upload objek baru.

Semua bucket Amazon S3 memiliki enkripsi yang dikonfigurasi secara default, dan semua objek baru yang diunggah ke bucket S3 secara otomatis dienkripsi saat sedang tidak aktif. Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) adalah konfigurasi enkripsi default untuk setiap bucket di Amazon S3. Jika Anda ingin menentukan jenis enkripsi yang berbeda untuk bucket direktori, Anda dapat menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) kunci (SSE-KMS). Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE -KMS, Anda harus menentukan SSE - KMS sebagai konfigurasi enkripsi default bucket direktori dengan KMS kunci (khususnya, kunci yang dikelola pelanggan). Kunci yang dikelola AWS(aws/s3) tidak didukung. KMSKonfigurasi SSE - Anda hanya dapat mendukung 1 kunci terkelola pelanggan per bucket direktori selama masa pakai bucket. Setelah menentukan kunci terkelola pelanggan untuk SSE -KMS, Anda tidak dapat mengganti kunci terkelola pelanggan untuk KMS konfigurasi bucket SSE -. Kemudian, saat Anda menentukan setelan enkripsi sisi server untuk objek baru dengan SSE -KMS, Anda harus memastikan kunci enkripsi adalah kunci terkelola pelanggan yang sama dengan yang Anda tentukan untuk konfigurasi enkripsi default bucket direktori. Untuk menggunakan kunci terkelola pelanggan baru untuk data Anda, sebaiknya salin objek yang ada ke bucket direktori baru dengan kunci terkelola pelanggan baru.

Anda dapat menerapkan enkripsi saat mengunggah objek baru, atau menyalin objek yang sudah ada. Jika Anda mengubah enkripsi objek, sebuah objek baru akan dibuat untuk menggantikan objek yang lama.

Anda dapat menentukan SSE - KMS dengan menggunakan REST API operasi, AWS SDKs, dan AWS Command Line Interface (AWS CLI).

catatan

  • Untuk bucket direktori, perilaku utama enkripsi adalah sebagai berikut:

    • Saat Anda menggunakan CreateSessiondengan REST API untuk mengautentikasi dan mengotorisasi API permintaan titik akhir Zonal kecuali CopyObjectdan UploadPartCopy, Anda dapat mengganti pengaturan enkripsi ke SSE -S3 atau ke SSE - KMS hanya jika Anda menentukan enkripsi default bucket dengan - sebelumnya. SSE KMS

    • Saat Anda menggunakan CreateSession dengan AWS CLI atau AWS SDKsuntuk mengautentikasi dan mengotorisasi API permintaan titik akhir Zonal kecuali CopyObjectdan UploadPartCopy, Anda tidak dapat mengganti pengaturan enkripsi sama sekali.

    • Saat Anda membuat CopyObjectpermintaan, Anda dapat mengganti pengaturan enkripsi ke SSE -S3 atau ke SSE - KMS hanya jika Anda menentukan enkripsi default bucket dengan SSE - sebelumnya. KMS Saat Anda membuat UploadPartCopypermintaan, Anda tidak dapat mengganti pengaturan enkripsi.

  • Anda dapat menggunakan Multi-region AWS KMS keys di Amazon S3. Namun, Amazon S3 saat ini memperlakukan kunci multi-Wilayah selayaknya kunci satu Wilayah, dan tidak menggunakan fitur multi-Wilayah dari kunci tersebut. Untuk informasi selengkapnya, lihat Menggunakan kunci Multi-region di AWS Key Management Service Panduan Pengembang.

  • Jika Anda ingin menggunakan KMS kunci yang dimiliki oleh akun lain, Anda harus memiliki izin untuk menggunakan kunci tersebut. Untuk informasi selengkapnya tentang izin lintas akun untuk KMS kunci, lihat Membuat KMS kunci yang dapat digunakan akun lain di AWS Key Management Service Panduan Pengembang.

catatan

Hanya 1 kunci terkelola pelanggan yang didukung per bucket direktori selama masa pakai bucket. Kunci yang dikelola AWS(aws/s3) tidak didukung. Setelah menentukan SSE - KMS sebagai konfigurasi enkripsi default bucket dengan kunci terkelola pelanggan, Anda tidak dapat mengubah kunci terkelola pelanggan untuk KMS konfigurasi bucket SSE -.

Untuk APIoperasi titik akhir Zonal (tingkat objek) kecuali CopyObjectdan UploadPartCopy, Anda mengautentikasi dan mengotorisasi permintaan melalui latensi rendah. CreateSession Sebaiknya enkripsi default bucket menggunakan konfigurasi enkripsi yang diinginkan dan Anda tidak mengganti enkripsi default bucket dalam CreateSession permintaan atau permintaan PUT objek. Kemudian, objek baru secara otomatis dienkripsi dengan pengaturan enkripsi yang diinginkan. Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE -KMS, Anda harus menentukan SSE - KMS sebagai konfigurasi enkripsi default bucket direktori dengan KMS kunci (khususnya, kunci yang dikelola pelanggan). Kemudian, ketika sesi dibuat untuk API operasi titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE - KMS dan S3 Bucket Keys selama sesi berlangsung. Untuk informasi selengkapnya tentang perilaku pengesampingan enkripsi dalam bucket direktori, lihat Menentukan enkripsi sisi server dengan AWS KMS untuk upload objek baru.

Dalam API panggilan titik akhir Zonal (kecuali CopyObjectdan UploadPartCopy) menggunakan RESTAPI, Anda tidak dapat mengganti nilai pengaturan enkripsi (x-amz-server-side-encryption,, x-amz-server-side-encryption-aws-kms-key-idx-amz-server-side-encryption-context, danx-amz-server-side-encryption-bucket-key-enabled) dari permintaan. CreateSession Anda tidak perlu secara eksplisit menentukan nilai setelan enkripsi ini dalam API panggilan titik akhir Zonal, dan Amazon S3 akan menggunakan nilai pengaturan enkripsi dari CreateSession permintaan untuk melindungi objek baru di bucket direktori.

catatan

Saat Anda menggunakan AWS CLI atau AWS SDKs, untukCreateSession, token sesi akan diperbarui secara otomatis untuk menghindari gangguan layanan saat sesi berakhir. Bagian AWS CLI atau AWS SDKsgunakan konfigurasi enkripsi default bucket untuk CreateSession permintaan tersebut. Itu tidak didukung untuk mengganti nilai pengaturan enkripsi dalam CreateSession permintaan. Juga, dalam API panggilan titik akhir Zonal (kecuali CopyObjectdan UploadPartCopy), itu tidak didukung untuk mengganti nilai pengaturan enkripsi dari permintaan. CreateSession

Untuk CopyObject, untuk mengenkripsi salinan objek baru dalam bucket direktori dengan SSE -KMS, Anda harus menentukan SSE - KMS sebagai konfigurasi enkripsi default bucket direktori dengan KMS kunci (khususnya, kunci yang dikelola pelanggan). Kemudian, saat Anda menentukan setelan enkripsi sisi server untuk salinan objek baru dengan SSE -KMS, Anda harus memastikan kunci enkripsi adalah kunci terkelola pelanggan yang sama dengan yang Anda tentukan untuk konfigurasi enkripsi default bucket direktori. Untuk UploadPartCopy, untuk mengenkripsi salinan bagian objek baru dalam bucket direktori dengan SSE -KMS, Anda harus menentukan SSE - KMS sebagai konfigurasi enkripsi default bucket direktori dengan KMS kunci (khususnya, kunci yang dikelola pelanggan). Anda tidak dapat menentukan setelan enkripsi sisi server untuk salinan bagian objek baru dengan SSE - KMS di header permintaan. UploadPartCopy Selain itu, pengaturan enkripsi yang Anda berikan dalam CreateMultipartUploadpermintaan harus sesuai dengan konfigurasi enkripsi default bucket tujuan.

RESTAPIOperasi Amazon S3 yang mendukung - SSE KMS

RESTAPIOperasi tingkat objek berikut dalam bucket direktori menerima headerx-amz-server-side-encryption,x-amz-server-side-encryption-aws-kms-key-id, dan x-amz-server-side-encryption-context permintaan.

  • CreateSession— Saat Anda menggunakan API operasi titik akhir Zonal (tingkat objek) (kecuali CopyObject dan UploadPartCopy), Anda dapat menentukan header permintaan ini.

  • PutObject— Saat Anda mengunggah data dengan menggunakan PUT API operasi, Anda dapat menentukan header permintaan ini.

  • CopyObject–Saat Anda menyalin objek, Anda memiliki objek sumber dan objek target. Ketika Anda melewati SSE - KMS header dengan CopyObject operasi, mereka diterapkan hanya ke objek target.

  • CreateMultipartUpload— Saat Anda mengunggah objek besar dengan menggunakan API operasi unggahan multibagian, Anda dapat menentukan header ini. Anda menentukan header ini dalam CreateMultipartUpload permintaan.

Header respons dari REST API operasi berikut mengembalikan x-amz-server-side-encryption header saat objek disimpan dengan menggunakan enkripsi sisi server.

penting

  • Semua GET dan PUT permintaan untuk objek yang dilindungi oleh AWS KMS gagal jika Anda tidak membuat permintaan ini dengan menggunakan Transport Layer Security (TLS), atau Signature Version 4.

  • Jika objek Anda menggunakan SSE -KMS, jangan mengirim header permintaan enkripsi untuk GET permintaan dan HEAD permintaan, atau Anda akan mendapatkan BadRequest kesalahan HTTP400.

Konteks enkripsi (x-amz-server-side-encryption-context)

Jika Anda menentukanx-amz-server-side-encryption:aws:kms, Amazon S3 API mendukung Anda untuk secara opsional memberikan konteks enkripsi eksplisit dengan header. x-amz-server-side-encryption-context Untuk bucket direktori, konteks enkripsi adalah sekumpulan pasangan kunci-nilai yang berisi informasi kontekstual tentang data. Nilai harus sesuai dengan konteks enkripsi default — bucket Amazon Resource Name (ARN). Nilai konteks enkripsi tambahan tidak didukung.

Untuk informasi tentang konteks enkripsi dalam bucket direktori, lihatKonteks enkripsi. Untuk informasi umum tentang konteks enkripsi, lihat AWS Key Management Service Konsep - Konteks enkripsi dalam AWS Key Management Service Panduan Pengembang.

AWS KMS ID kunci (x-amz-server-side-encryption-aws-kms-key-id)

Anda dapat menggunakan header x-amz-server-side-encryption-aws-kms-key-id untuk menentukan ID CMK, yang digunakan untuk melindungi data.

KMSKonfigurasi SSE - Anda hanya dapat mendukung 1 kunci terkelola pelanggan per bucket direktori selama masa pakai bucket. Kunci yang dikelola AWS(aws/s3) tidak didukung. Selain itu, setelah menentukan kunci terkelola pelanggan untuk SSE -KMS, Anda tidak dapat mengganti kunci terkelola pelanggan untuk KMS konfigurasi bucket SSE -.

Anda dapat mengidentifikasi kunci terkelola pelanggan yang Anda tentukan untuk KMS konfigurasi bucket SSE - dengan cara berikut:

  • Anda membuat permintaan HeadObject API operasi untuk menemukan nilai x-amz-server-side-encryption-aws-kms-key-id dalam respons Anda.

Untuk menggunakan kunci terkelola pelanggan baru untuk data Anda, sebaiknya salin objek yang ada ke bucket direktori baru dengan kunci terkelola pelanggan baru.

Untuk informasi tentang konteks enkripsi dalam bucket direktori, lihatAWS KMS keys.

Kunci Bucket S3 () x-amz-server-side-encryption-aws-bucket-key-enabled

Kunci Bucket S3 selalu diaktifkan untuk GET dan PUT beroperasi di bucket direktori dan tidak dapat dinonaktifkan. Kunci Bucket S3 tidak didukung, saat Anda menyalin SSE - objek KMS terenkripsi dari bucket tujuan umum ke bucket direktori, dari bucket direktori ke bucket tujuan umum, atau di antara bucket direktori, hingga CopyObject, UploadPartCopy, yang Copy operasi dalam Operasi Batch, atau import pekerjaan. Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan salinan dibuat untuk objek KMS -terenkripsi. Untuk informasi tentang Kunci Bucket S3 di bucket direktori, lihat. Konteks enkripsi

catatan

Saat Anda menggunakan AWS CLI, untukCreateSession, token sesi akan diperbarui secara otomatis untuk menghindari gangguan layanan saat sesi berakhir. Itu tidak didukung untuk mengganti nilai pengaturan enkripsi untuk CreateSession permintaan. Juga, dalam API panggilan titik akhir Zonal (kecuali CopyObjectdan UploadPartCopy), itu tidak didukung untuk mengganti nilai pengaturan enkripsi dari permintaan. CreateSession

Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE -KMS, Anda harus menentukan SSE - KMS sebagai konfigurasi enkripsi default bucket direktori dengan KMS kunci (khususnya, kunci yang dikelola pelanggan). Kemudian, ketika sesi dibuat untuk API operasi titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE - KMS dan S3 Bucket Keys selama sesi berlangsung.

Untuk menggunakan contoh berikut AWS CLI perintah, ganti user input placeholders dengan informasi Anda sendiri.

Saat Anda mengunggah objek baru atau menyalin objek yang ada, Anda dapat menentukan penggunaan enkripsi sisi server dengan AWS KMS kunci untuk mengenkripsi data Anda. Untuk melakukan ini, gunakan put-bucket-encryption perintah untuk mengatur konfigurasi enkripsi default bucket direktori sebagai SSE - KMS (aws:kms). Secara khusus, tambahkan --server-side-encryption aws:kms header ke permintaan. Gunakan --ssekms-key-id example-key-id untuk menambahkan pelanggan Anda terkelola AWS KMS kunci yang Anda buat. Jika Anda menentukan--server-side-encryption aws:kms, Anda harus memberikan AWS KMS ID kunci kunci yang dikelola pelanggan Anda. Bucket direktori tidak menggunakan AWS kunci yang dikelola. Untuk contoh perintah, lihat Menggunakan AWS CLI.

Kemudian, saat Anda mengunggah objek baru dengan perintah berikut, Amazon S3 menggunakan pengaturan bucket untuk enkripsi default untuk mengenkripsi objek secara default.

aws s3api put-object --bucket bucket-base-name--azid--x-s3 --key example-object-key --body filepath

Anda tidak perlu menambahkan -\-bucket-key-enabled secara eksplisit dalam perintah operasi titik akhir API Zonal Anda. Kunci Bucket S3 selalu diaktifkan untuk GET dan PUT beroperasi di bucket direktori dan tidak dapat dinonaktifkan. Kunci Bucket S3 tidak didukung, saat Anda menyalin SSE - objek KMS terenkripsi dari bucket tujuan umum ke bucket direktori, dari bucket direktori ke bucket tujuan umum, atau di antara bucket direktori, hingga CopyObject, UploadPartCopy, yang Copy operasi dalam Operasi Batch, atau import pekerjaan. Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan salinan dibuat untuk objek KMS -terenkripsi.

Anda dapat menyalin objek dari bucket sumber (misalnya, bucket tujuan umum) ke bucket baru (misalnya, bucket direktori) dan menggunakan KMS enkripsi SSE - untuk objek tujuan. Untuk melakukan ini, gunakan put-bucket-encryption perintah untuk mengatur konfigurasi enkripsi default bucket tujuan (misalnya, bucket direktori) sebagai SSE - KMS (aws:kms). Untuk contoh perintah, lihat Menggunakan AWS CLI. Kemudian, ketika Anda menyalin objek dengan perintah berikut, Amazon S3 menggunakan pengaturan bucket untuk enkripsi default untuk mengenkripsi objek secara default.

aws s3api copy-object --copy-source amzn-s3-demo-bucket/example-object-key --bucket bucket-base-name--azid--x-s3 --key example-object-key

Saat menggunakan AWS SDKs, Anda dapat meminta Amazon S3 untuk digunakan AWS KMS keys untuk enkripsi sisi server. Contoh berikut menunjukkan cara menggunakan SSE - KMS dengan AWS SDKsuntuk Java dan. NET. Untuk informasi tentang lainnyaSDKs, lihat Contoh kode dan pustaka di AWS Pusat Pengembang.

catatan

Saat Anda menggunakan AWS SDKs, untukCreateSession, token sesi akan diperbarui secara otomatis untuk menghindari gangguan layanan saat sesi berakhir. Itu tidak didukung untuk mengganti nilai pengaturan enkripsi untuk CreateSession permintaan. Juga, dalam API panggilan titik akhir Zonal (kecuali CopyObjectdan UploadPartCopy), itu tidak didukung untuk mengganti nilai pengaturan enkripsi dari permintaan. CreateSession

Untuk mengenkripsi objek baru dalam bucket direktori dengan SSE -KMS, Anda harus menentukan SSE - KMS sebagai konfigurasi enkripsi default bucket direktori dengan KMS kunci (khususnya, kunci yang dikelola pelanggan). Kemudian, ketika sesi dibuat untuk API operasi titik akhir Zonal, objek baru secara otomatis dienkripsi dan didekripsi dengan SSE - KMS dan S3 Bucket Keys selama sesi berlangsung.

Untuk informasi lebih lanjut tentang penggunaan AWS SDKsuntuk mengatur konfigurasi enkripsi default bucket direktori sebagai SSE -KMS, lihatMenggunakan AWS SDKs.

penting

Saat Anda menggunakan sebuah AWS KMS key untuk enkripsi sisi server di Amazon S3, Anda harus memilih kunci enkripsi simetris. KMS Amazon S3 hanya mendukung kunci enkripsi simetris. KMS Untuk informasi selengkapnya tentang kunci ini, lihat KMSKunci enkripsi simetris di AWS Key Management Service Panduan Pengembang.

Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat Memprogram AWS KMS APIdi AWS Key Management Service Panduan Pengembang.