使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本
Amazon S3 存储桶密钥降低了使用 Amazon Key Management Service (SSE-KMS) 进行加密的 Amazon S3 服务器端加密的成本。SSE 的此新存储桶级别密钥通过减少从 Amazon S3 到 Amazon KMS 的请求流量,从而将 Amazon KMS 请求成本降低多达 99%。只需在 Amazon Web Services Management Console 中单击几下,无需对客户端应用程序进行任何更改,您就可以将存储桶配置为使用 S3 存储桶密钥对新对象进行基于 Amazon KMS 的加密。
SSE-KMS 的 S3 存储桶密钥
访问使用 SSE-KMS 加密的数百万或数十亿个对象的工作负载可以生成大量到 Amazon KMS 的请求。当您在没有 S3 存储桶密钥的情况下使用 SSE-KMS 保护数据时,Amazon S3 会为每个对象使用单独的 Amazon KMS 数据密钥。每次对 KMS 加密的对象发出请求时,它都会调用 Amazon KMS。有关 SSE-KMS 工作原理的信息,请参阅 使用具有 Amazon Key Management Service 的服务器端加密(SSE-KMS)。
当您将存储桶配置为使用 S3 存储桶密钥进行 SSE-KMS 加密时,Amazon KMS 会生成存储桶级别密钥,该密钥用于为添加到存储桶中的新对象创建唯一的数据密钥。此 S3 存储桶密钥在 Amazon S3 内限时使用,从而减少了 Amazon S3 向 Amazon KMS 发出请求,以完成加密操作的需求。这样可以减少从 S3 到 Amazon KMS 的流量,使您能够在 S3 中访问 Amazon KMS 加密的对象,所需成本仅为以前的一小部分。
配置 S3 存储桶密钥时,存储桶中已存在的对象不使用 S3 存储桶密钥。要为现有对象配置 S3 存储桶密钥,可以使用 COPY 操作。有关更多信息,请参阅使用分批操作、REST API、Amazon 软件开发工具包或 Amazon CLI 在对象级别配置 S3 存储桶密钥。
Amazon S3 将仅为由同一 Amazon KMS key 加密的对象共享 S3 存储桶密钥。
配置 S3 存储桶密钥
您可以通过 Amazon S3 控制台、Amazon 软件开发工具包、Amazon CLI 或 REST API 将存储桶配置为使用 S3 存储桶密钥对新对象进行 SSE-KMS 加密。您还可以使用 REST API、Amazon 软件开发工具包或 Amazon CLI,利用单个按对象的 KMS 密钥覆盖存储桶中特定对象的 S3 存储桶密钥配置。您还可以查看 S3 存储桶密钥设置。
在将存储桶配置为使用 S3 存储桶密钥之前,请查看 启用 S3 存储桶密钥之前需要注意的更改。
使用 Amazon S3 控制台配置 S3 存储桶密钥
创建新存储桶时,您可以将存储桶配置为使用 S3 存储桶密钥对新对象进行 SSE-KMS 加密。您还可以通过更新存储桶属性,从而将现有存储桶配置为使用 S3 存储桶密钥对新对象进行 SSE-KMS 加密。
有关更多信息,请参阅将存储桶配置为将 S3 存储桶密钥与 SSE-KMS 结合使用于新对象。
REST API、Amazon CLI 和 Amazon 软件开发工具包支持 S3 存储桶密钥
您可以使用 REST API、Amazon CLI 或 Amazon 软件开发工具包将存储桶配置为使用 S3 存储桶密钥对新对象进行 SSE-KMS 加密。您还可以在对象级别启用 S3 存储桶密钥。
有关更多信息,请参阅下列内容:
以下 API 支持 SSE-KMS 的 S3 存储桶密钥:
-
-
ServerSideEncryptionRule接受用于启用和禁用 S3 存储桶密钥的BucketKeyEnabled参数。
-
-
-
ServerSideEncryptionRule返回BucketKeyEnabled的设置。
-
-
PutObject、CopyObject、CreateMultipartUpload 和 PostObject
-
x-amz-server-side-encryption-bucket-key-enabled请求标头在对象级别启用或禁用 S3 存储桶密钥。
-
-
HeadObject、GetObject、UploadPartCopy、UploadPart 和 CompleteMultipartUpload
-
x-amz-server-side-encryption-bucket-key-enabled响应标头指示是否为对象启用或禁用了 S3 存储桶密钥。
-
使用 Amazon CloudFormation
在 Amazon CloudFormation 中,AWS::S3::Bucket 资源包括名为 BucketKeyEnabled 的加密属性,您可以使用该属性来启用或禁用 S3 存储桶密钥。
有关更多信息,请参阅使用 Amazon CloudFormation。
启用 S3 存储桶密钥之前需要注意的更改
在启用 S3 存储桶密钥之前,请注意以下相关更改:
IAM 或 KMS 密钥策略
如果您现有的 IAM policy 或 Amazon KMS 密钥策略使用您的对象 Amazon 资源名称(ARN)作为加密上下文来优化或限制对 KMS 密钥的访问,则这些策略将不适用于 S3 存储桶密钥。S3 存储桶密钥使用存储桶 ARN 作为加密上下文。在启用 S3 存储桶密钥之前,请更新 IAM policy 或 Amazon KMS 密钥策略,以将存储桶 ARN 用作加密上下文。
有关加密上下文和 S3 存储桶密钥的更多信息,请参阅 加密上下文。
Amazon KMS CloudTrail 事件
启用 S3 存储桶密钥后,Amazon KMS CloudTrail 事件会记录存储桶 ARN 而不是对象 ARN。此外,您在日志中看到的 SSE-KMS 对象的 KMS CloudTrail 事件较少。因为 Amazon S3 中的密钥材料是有时间限制的,所以对 Amazon KMS 的请求减少。
将 S3 存储桶密钥与复制功能结合使用
您可以将 S3 存储桶密钥与同区域复制 (SRR) 和跨区域复制 (CRR) 结合使用。
当 Amazon S3 复制加密对象时,它通常会在目标存储桶中保留副本对象的加密设置。但是,如果源对象未加密且目标存储桶使用默认加密或 S3 存储桶密钥,则 Amazon S3 会使用目标存储桶的配置加密对象。
以下示例说明了 S3 存储桶密钥如何与复制结合使用。有关更多信息,请参阅复制使用服务器端加密(SSE-C、SSE-S3、SSE-KMS)创建的对象。
例 示例 1 – 源对象使用 S3 存储桶密钥,目标存储桶使用默认加密
如果源对象使用 S3 存储桶密钥,但目标存储桶将默认加密与 SSE-KMS 结合使用,则副本对象将在目标存储桶中维护其 S3 存储桶密钥加密设置。目标存储桶仍将默认加密与 SSE-KMS 结合使用。
例 示例 2 – 源对象未加密,目标存储桶将 S3 存储桶密钥与 SSE-KMS 结合使用
如果源对象未加密,而目标存储桶将 S3 存储桶密钥与 SSE-KMS 结合使用,则将使用目标存储桶中的 SSE-KMS,借助 S3 存储桶密钥对源对象进行加密。这将导致源对象的 ETag 与副本对象的 ETag 不同。您必须更新使用 ETag 的应用程序以应对这种差异。
使用 S3 存储桶密钥
有关启用和使用 S3 存储桶密钥的更多信息,请参阅以下各部分: