低代码到底是不是行业毒瘤?一线大厂怎么做的?戳此了解>>> 了解详情
写点什么

全新 Amazon S3 加密和安全功能上线

2019 年 10 月 28 日

全新Amazon S3加密和安全功能上线

早在 2006 年,当我宣布 S3 时,我写道:“此外,每个块都受 ACL (访问控制列表) 的保护,从而允许开发人员根据需要保持数据私有、共享以供读取或共享以供读写。”


起点是那个具有私有存储桶和用于授予访问权限的 ACL 的初始模型,此后我们添加了对存储桶策略服务器访问日志记录版本控制API 日志记录跨区域复制以及多个客户端服务器端加密选项的支持,所有这些都是为了给您提供所需的工具,保护您的数据,同时允许您根据需要与客户和合作伙伴共享数据。我们还加入了人工智能和机器学习作为演绎元素,并推出了 Amazon Macie,这一工具可帮助您发现、分类和保护海量的内容


今天,我们将要向 S3 中添加五个新的加密和安全功能:


默认加密

– 现在,您可以强制存储桶中的所有对象都必须以加密形式保存,而不必构造一个拒绝未加密对象的存储桶策略。


权限检查

– S3 控制台现在在每个可公开访问的 S3 存储桶旁边显示一个显眼的指示器。


跨区域复制 ACL 覆盖

– 当您跨 AWS 账户复制对象时,您现在可以指定对象获取一个新的 ACL,以便对目标账户进行完全访问。


涉及 KMS 的跨区域复制

– 您现在可以复制使用由 AWS Key Management Service (KMS) 管理的密钥进行加密的对象。


详细清单报告

– S3 清单报告现在包括每个对象的加密状态。该报告本身也可以加密。


让我们了解一下每个功能…


默认加密

您的 S3 对象有三个服务器端加密选项:SSE-S3 (使用由 S3 管理的密钥)、SSE-KMS (使用由 AWS KMS 管理的密钥) 以及 SSE-C (使用您管理的密钥)。我们的一些客户,特别是那些需要满足规定在静态时使用加密的合规性要求的用户,已使用存储桶策略来确保每个新存储的对象都被加密。虽然这有助于他们满足要求,但仅仅拒绝存储未加密对象是一个不完善的解决方案。


现在,您可以通过安装存储桶加密配置,强制存储桶中的所有对象都必须以加密形式保存。如果将未加密对象提交给 S3,并且配置指明必须使用加密,则该对象将使用为该存储桶指定的加密选项进行加密 (PUT 请求还可以指定不同的选项)。


下面是在您创建新存储桶时,如何使用 [](https://s3.console.aws.amazon.com/s3/home?region=us-east-1)来启用此功能。像往常一样输入存储桶的名称,然后单击**下一步**。然后向下滚动并单击默认加密:
复制代码



选择所需的选项,然后单击_保存_ (如果您选择 AWS-KMS,则还需要指定 KMS 密钥):



您还可以通过调用 PUT 存储桶加密函数来进行此更改。它必须指定 SSE 算法 (SSE-S3 或 SSE-KMS),并且可以选择引用 KMS 密钥。


实施此功能时,请牢记以下几点:


SigV4 – 通过 S3 REST API 对存储桶策略进行的访问必须使用 SigV4 签名,并且通过 SSL 连接完成。


更新存储桶策略

– 您应该检查并仔细修改当前拒绝未加密对象的现有存储桶策略。


高容量使用

– 如果您使用的是 SSE-KMS,并且每秒上传成百上千个对象,则可能会在执行加密和解密操作时碰到 KMS 限制。只需提交一个支持案例并申请更高的限制:



跨区域复制

– 未加密的对象将根据目标存储桶的配置进行加密。加密的对象将保持不变。


权限检查

存储桶策略、存储桶 ACL 和对象 ACL 的组合使您能够非常精细地控制对您的存储桶及其内部对象的访问。为了确保您的策略和 ACL 结合起来以创造所需的效果,我们最近推出了一组托管配置规则来保护您的 S3 存储桶。正如我在文章中提到的,这些规则利用了我们的一些工作来应用自动形式推理


我们现在使用相同的基础技术来帮助您在对存储桶策略和 ACL 进行更改时便可看到更改的影响。如果您打开一个存储桶供公开访问,您立刻就会知道,这能让您充满信心地进行更改。


下面是它在 S3 控制台主页上的显示情况 (为方便查看,我按访问权限列进行了排序):



当您在单个存储桶中查看时,还会显示公共指示器:



您还可以查看哪些权限元素 (ACL 和/或存储桶策略) 在启用公开访问:



跨区域复制 ACL 覆盖

我们的客户经常使用 S3 的跨区域复制,在一个单独的 AWS 账户中将其任务关键型对象和数据复制到目标存储桶中。除了复制对象外,复制过程还会复制对象 ACL 以及任何与该对象关联的标签


我们使此功能更加有用,具体来说就是能让您在传输过程中启用 ACL 替换,以便它向目标存储桶的所有者授予完全访问权限。通过此更改,源和目标数据的所有权将跨 AWS 账户进行拆分,从而使您能够为原始对象及其副本维护单独且不同的所有权堆栈。


要在设置复制时启用此功能,请通过指定账户 ID 和存储桶名称并单击保存,在不同的账户和区域中选择目标存储桶:



然后单击**更改对象所有权…**:



我们还使您更容易为目标账户中的目标存储桶设置密钥策略。只需登录到该账户并找到该存储桶,然后单击_管理复制,然后从更多_菜单中选择**接收对象…**:



输入源账户 ID,启用版本控制,检查策略,应用策略,然后单击_完成_:



涉及 KMS 的跨区域复制

跨区域复制使用 SSE-KMS 加密的对象是我们今天要解决的一个有趣的挑战。由于 KMS 密钥特定于特定区域,因此仅复制加密的对象将不起作用。


现在,您可以在设置跨区域复制时选择目标键。在复制过程中,加密的对象通过 SSL 连接复制到目标。在目标位置,数据键使用在复制配置中指定的 KMS 主密钥进行加密。对象始终保持原来的加密形式;只有包含密钥的信封才会实际发生更改。


下面是在设置复制规则时如何启用此功能:



正如我前面提到的,在开始大量使用此功能之前,您可能需要请求增大 KMS 限制。


详细清单报告

最后但同样重要的是,您现在可以请求每日或每周 S3 清单报告包含有关每个对象的加密状态的信息:



正如您所看到的,您还可以为该报告请求 SSE-S3 或 SSE-KMS 加密。


现在提供

这些功能现已全部提供,您可以立即开始使用!这些功能没有收费,但会对 KMS 调用S3 存储S3 请求以及区域间数据传输按通常费率收费。


作者介绍:


Jeff Barr


Jeff Barr 是 AWS 的首席布道师,从 2004 年开始写本博客以来,他开启了不停写博文的模式。


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/new-amazon-s3-encryption-security/


2019 年 10 月 28 日 08:00186

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

交通流量预测,EasyDL带你零代码实战

百度大脑

零代码 EasyDL

fil挖矿步骤教程是什么?fil挖矿靠谱吗?

投资矿机v:IPFS1234

fil挖矿步骤教程是什么 fil挖矿靠谱吗

终于有腾讯大牛把大学四年没学完的网络编程,TCP/IP通信协议,HTTP全部讲清了

神奇小汤圆

Java 程序员 架构 面试 计算机

双非渣硕,是如何拿到苏宁、阿里的offer的?(分享学习心得)

云流

Java 程序员 架构 面试

雀食蟀!Java Netty实战入门

北游学Java

Java Netty 网络 框架

阿里大牛强推Spring源码系列学习笔记,深入底层通俗易懂

周老师

Java 编程 程序员 架构 面试

预告 | 5月26日IGS大会腾讯云游戏&新文娱分论坛遇见TcaplusDB

TcaplusDB

nosql 后端 数据 TcaplusDB

这个好用的分布式应用配置中心,我们把它开源了

百度Geek说

分布式 前端 服务器

XDPool比特兄弟矿场系统开发|XDPool比特兄弟矿场APP软件开发

开發I852946OIIO

【实战问题】-- 布隆过滤器的三种实践:手写,Redission以及Guava(2)

秦怀杂货店

Java 布隆过滤器

“大三在读生”都四面成功拿到字节跳动Offer了,你还有什么理由去摸鱼?

Crud的程序员

Java 架构 程序员面试

精选Hadoop高频面试题17道,附答案详细解析

五分钟学大数据

大数据 hadoop 5月日更

SecSolar:为代码“捉虫”,让你能更专心写代码

华为云开发者社区

代码 华为云 CloudIDE 代码安全检测 SecSolar

NetWebCore实现文件上传功能

happlyfox

学习 .net core 五月日更

硬核!阿里Spring源码全解笔记2021全新开源!(理论到实战,一键搞定!)

程序员小毕

Java 源码 程序员 架构 设计模式

如何从一段视频中一次性修整多个片段

奈奈的杂社

视频剪辑 视频后期 视频处理

这是我金三银四收到的第6个Offer:美团+阿里Java研发岗

云流

Java 程序员 架构 面试

抱歉,“行业毒瘤”这个锅,低/无代码不背

陈思

低代码 无代码 低代码平台 无代码平台

2021最新500道Java高岗面试题:数据库+微服务 +SSM+并发编程+..

Crud的程序员

Java spring 架构 程序员面试

NAT穿透原理详解

IT酷盖

音视频 p2p NAT

TcaplusDB知识库 | TcaplusDB安全性介绍

tcaplus

数据库 游戏

兄弟矿场系统开发|兄弟矿场软件APP开发

开發I852946OIIO

安排!这个Spring事务的坑,90%的Java大佬都踩过,看我一波反杀

java专业爱好者

Java spring

阿里P9都窥视已久的“Java并发实现原理:JDK源码剖析”

周老师

Java 编程 程序员 架构 面试

iOS 面试策略之语言工具-Xcode使用

iOSer

ios xcode 语言 & 开发

hive的主流文件存储格式对比实验

大数据技术指南

大数据 hive 5月日更

Java开发连Redis都不会?还想跳槽涨薪?先把Redis的知识点吃透再说吧

Crud的程序员

Java redis 架构

引荐好友成为推广者还能拿额外奖励?!华为云引荐奖励计划来啦!

华为云开发者社区

文章 返现奖励 推广计划 返利 团长

微服务化转型,拆就行了?这样做很危险...

BoCloud博云

微服务 微服务治理 微服务转型

马斯克一句话让数字货币市场暴跌,FIL币怕涨不怕跌?

投资矿机v:IPFS1234

鸿蒙内核源码分析(静态站点篇) | 五一哪也没去就干了这事 | 百篇博客分析HarmonyOS源码 | v52.02

鸿蒙内核源码分析

鸿蒙内核源码分析 百篇博客分析鸿蒙

2021 ThoughtWorks 技术雷达峰会

2021 ThoughtWorks 技术雷达峰会

全新Amazon S3加密和安全功能上线-InfoQ