复制加密对象
默认情况下,Amazon S3 不会复制使用具有 KMS 密钥的服务器端加密静态存储的对象。要复制加密对象,请修改存储桶复制配置以指示 Amazon S3 复制这些对象。此示例介绍如何使用 Amazon S3 控制台和 Amazon Command Line Interface (Amazon CLI) 更改存储桶复制配置以允许复制加密对象。有关更多信息,请参阅复制使用服务器端加密(SSE-C、SSE-S3、SSE-KMS)创建的对象。
注意
您可以在 Amazon S3 中使用多区域 Amazon KMS keys。但是,Amazon S3 目前将多区域密钥视为单区域密钥,且不使用密钥的多区域功能。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。
如需分步指导,请参阅 为同一账户拥有的源存储桶和目标存储桶配置复制。本主题提供了在两个存储桶由相同和不同的 Amazon Web Services 账户拥有时如何设置复制配置的说明。
要使用 Amazon CLI 复制加密对象,您需要创建存储桶,对存储桶启用版本控制,创建一个 IAM 角色,该角色赋予 Amazon S3 复制对象并将复制配置添加到源存储桶的权限。复制配置提供有关复制使用 KMS 密钥加密的对象的信息。IAM 角色包含复制这些加密对象的必要权限。此外,您还将测试该设置。
复制服务器端加密对象 (Amazon CLI)
-
在此示例中,我们在同一Amazon Web Services 账户中创建了
source(源)存储桶和destination(目标)存储桶。为 Amazon CLI 设置凭证配置文件。在此示例中,我们使用配置文件名称acctA。有关设置凭证配置文件的更多信息,请参阅《Amazon Command Line Interface 用户指南》中的命名配置文件。 -
创建
源存储桶,并对其启用版本控制。在此示例中,我们将在美国东部(弗吉尼亚北部)(us-east-1) 区域中创建源存储桶。aws s3api create-bucket \ --bucketsource\ --region us-east-1 \ --profile acctAaws s3api put-bucket-versioning \ --bucketsource\ --versioning-configuration Status=Enabled \ --profile acctA -
创建
目标存储桶,并对其启用版本控制。在此示例中,我们将在美国西部(俄勒冈)(us-west-2) 区域中创建目标存储桶。注意
要在
source(源)存储桶和destination(目标)存储桶位于同一Amazon Web Services 账户时设置复制配置,请使用同一配置文件。在此示例中,我们使用的是acctA. 要在两个存储桶由不同 Amazon Web Services 账户 拥有时对复制配置进行测试,您需要为每个存储桶指定不同的配置文件。aws s3api create-bucket \ --bucketdestination\ --region us-west-2 \ --create-bucket-configuration LocationConstraint=us-west-2 \ --profile acctAaws s3api put-bucket-versioning \ --bucketdestination\ --versioning-configuration Status=Enabled \ --profile acctA -
创建一个 IAM 角色。您将在稍后添加到
源存储桶的复制配置中指定此角色。Amazon S3 担任此角色以代表您复制对象。分两个步骤创建 IAM 角色:-
创建角色
-
将权限策略附加到角色
-
创建一个 IAM 角色。
-
复制以下信任策略,并将其保存到本地计算机上当前目录中一个名为
s3-role-trust-policy-kmsobj.json的文件。此策略授予 Amazon S3 服务委托人担任该角色的权限,以便 Amazon S3 可代表您执行任务。{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] } -
创建角色。
$aws iam create-role \ --role-namereplicationRolekmsobj\ --assume-role-policy-document file://s3-role-trust-policy-kmsobj.json \ --profile acctA
-
-
将权限策略附加到角色。此策略授予对各种 Amazon S3 存储桶和对象操作的权限。
-
复制以下权限策略,并将其保存到本地计算机上当前目录中一个名为
s3-role-permissions-policykmsobj.json的文件。您将创建一个 IAM 角色,稍后将策略附加到该角色。重要
在权限策略中,您可以指定将用于加密源和
destination存储桶的 Amazon KMS 密钥 ID。您必须为source和destination存储桶创建两个独立的 KMS 密钥。Amazon KMS keys 永远不会在 Amazon Web Services 区域 中创建它们。{ "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:ListBucket", "s3:GetReplicationConfiguration", "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::source", "arn:aws:s3:::source/*" ] }, { "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Effect":"Allow", "Condition":{ "StringLikeIfExists":{ "s3:x-amz-server-side-encryption":[ "aws:kms", "AES256" ], "s3:x-amz-server-side-encryption-aws-kms-key-id":[ "Amazon KMS key IDs(in ARN format) to use for encrypting object replicas" ] } }, "Resource":"arn:aws:s3:::destination/*" }, { "Action":[ "kms:Decrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.us-east-1.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::source/*" ] } }, "Resource":[ "Amazon KMS key IDs(in ARN format) used to encrypt source objects." ] }, { "Action":[ "kms:Encrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.us-west-2.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::destination/*" ] } }, "Resource":[ "Amazon KMS key IDs(in ARN format) to use for encrypting object replicas" ] } ] } -
创建一个策略并将其附加到角色。
$aws iam put-role-policy \ --role-name replicationRolekmsobj \ --policy-document file://s3-role-permissions-policykmsobj.json \ --policy-name replicationRolechangeownerPolicy \ --profile acctA
-
-
-
将以下复制配置添加到
源存储桶。它指示 Amazon S3 将前缀为Tax/的对象复制到目标存储桶。重要
在复制配置中,指定 Amazon S3 可担任的 IAM 角色。仅当您具有
iam:PassRole权限时,才能执行此操作。CLI 命令中指定的配置文件必须具有这些权限。有关更多信息,请参阅 IAM 用户指南中的向用户授予将角色传递给 Amazon 服务的权限。<ReplicationConfiguration> <Role>IAM-Role-ARN</Role> <Rule> <Priority>1</Priority> <DeleteMarkerReplication> <Status>Disabled</Status> </DeleteMarkerReplication> <Filter> <Prefix>Tax</Prefix> </Filter> <Status>Enabled</Status> <SourceSelectionCriteria> <SseKmsEncryptedObjects> <Status>Enabled</Status> </SseKmsEncryptedObjects> </SourceSelectionCriteria> <Destination> <Bucket>arn:aws:s3:::dest-bucket-name</Bucket> <EncryptionConfiguration> <ReplicaKmsKeyID>Amazon KMS key IDs to use for encrypting object replicas</ReplicaKmsKeyID> </EncryptionConfiguration> </Destination> </Rule> </ReplicationConfiguration>要将复制配置添加到
源存储桶,请执行以下操作:-
Amazon CLI 要求以 JSON 形式指定复制配置。将以下 JSON 保存到本地计算机上当前目录中的一个文件 (
replication.json)。{ "Role":"IAM-Role-ARN", "Rules":[ { "Status":"Enabled", "Priority":1, "DeleteMarkerReplication":{ "Status":"Disabled" }, "Filter":{ "Prefix":"Tax" }, "Destination":{ "Bucket":"arn:aws:s3:::destination", "EncryptionConfiguration":{ "ReplicaKmsKeyID":"Amazon KMS key IDs(in ARN format) to use for encrypting object replicas" } }, "SourceSelectionCriteria":{ "SseKmsEncryptedObjects":{ "Status":"Enabled" } } } ] } -
编辑 JSON 以提供
目标存储桶、KMS ID ARN和IAM-role-ARN的值。保存更改。 -
向
源存储桶添加复制配置。请务必提供源存储桶名称。$aws s3api put-bucket-replication \ --replication-configuration file://replication.json \ --bucketsource\ --profile acctA
-
-
测试该设置以确认已经复制了加密对象。在 Amazon S3 控制台中:
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在
源存储桶中,创建一个名为Tax的文件夹。 -
将示例对象添加到文件夹。请务必选择加密选项并指定用于加密对象的 KMS 密钥。
-
确认
目标存储桶包含对象副本,并且它们已使用配置中指定的 KMS 密钥进行了加密。
有关添加复制配置的代码示例,请参阅 使用 Amazon SDK。您将需要适当地修改复制配置。
有关概念性信息,请参阅 复制使用服务器端加密(SSE-C、SSE-S3、SSE-KMS)创建的对象。