在目录存储桶中使用具有 Amazon KMS 密钥的服务器端加密(SSE-KMS) - Amazon Simple Storage Service
Amazon KMS keys对跨账户操作使用 SSE-KMSAmazon S3 存储桶密钥需要 SSE-KMS加密上下文发送对 Amazon KMS 加密对象的请求审计目录存储桶中的 SSE-KMS 加密
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在目录存储桶中使用具有 Amazon KMS 密钥的服务器端加密(SSE-KMS)

Amazon KMS 中的安全控制可帮助您满足与加密相关的合规性要求。可以选择将目录存储桶配置为使用具有 Amazon Key Management Service(Amazon KMS)密钥的服务器端加密(SSE-KMS),并使用这些 KMS 密钥保护您在 Amazon S3 目录存储桶中的数据。有关 SSE-KMS 的更多信息,请参阅 使用具有 Amazon KMS 密钥的服务器端加密(SSE-KMS)

权限

要将使用 Amazon KMS key加密的对象上传到 Amazon S3 或从 Amazon S3 中下载该对象,您需要对密钥具有 kms:GenerateDataKeykms:Decrypt 权限。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的允许密钥用户使用 KMS 密钥进行加密操作。有关分段上传所需的 Amazon KMS 权限的信息,请参阅分段上传 API 和权限

有关用于 SSE-KMS 的 KMS 密钥的更多信息,请参阅使用 Amazon KMS (SSE-KMS) 指定服务器端加密

主题

Amazon KMS keys

在存储桶的生命周期内,SSE-KMS 配置只能支持每个目录存储桶 1 个 customer managed keyAmazon 托管式密钥 (aws/s3) 不受支持。此外,在为 SSE-KMS 指定客户自主管理型密钥后,无法覆盖存储桶的 SSE-KMS 配置的客户自主管理型密钥。

可以通过以下方式,确定您为存储桶的 SSE-KMS 配置指定的客户自主管理型密钥:

  • 您发出 HeadObject API 操作请求以查找响应中 x-amz-server-side-encryption-aws-kms-key-id 的值。

要对数据使用新的客户自主管理型密钥,我们建议使用新的客户自主管理型密钥将现有对象复制到新的目录存储桶中。

当您在目录存储桶中指定用于加密的 Amazon KMS customer managed key 时,请仅使用密钥 ID 或密钥 ARN。不支持 KMS 密钥的密钥别名格式。

有关用于 SSE-KMS 的 KMS 密钥的更多信息,请参阅Amazon KMS keys

对跨账户操作使用 SSE-KMS

在对目录存储桶中的跨账户操作使用加密时,请注意以下事项:

  • 如果您希望授予对 S3 对象的跨账户访问权限,请配置客户自主管理型密钥的策略,以支持从其它账户进行访问。

  • 要指定客户自主管理型密钥,必须使用完全限定的 KMS 密钥 ARN。

Amazon S3 存储桶密钥

始终为目录存储桶中的 GETPUT 操作启用 S3 存储桶密钥,并且不能禁用。当您通过 CopyObjectUploadPartCopy批量操作中的 Copy 操作import 任务,将 SSE-KMS 加密的对象从通用存储桶复制到目录存储桶、从目录存储桶复制到通用存储桶,或在目录存储桶之间复制时,不支持 S3 存储桶密钥。在这种情况下,每次对 KMS 加密的对象发出复制请求时,Amazon S3 都会调用 Amazon KMS。

对于除 CopyObjectUploadPartCopy 之外的可用区端点(对象级)API 操作,可以通过 CreateSession 验证请求和为请求授权,以实现低延迟。我们建议存储桶的默认加密使用所需的加密配置,并且不要在 CreateSession 请求或 PUT 对象请求中覆盖存储桶默认加密。然后,使用所需的加密设置自动对新对象进行加密。要使用 SSE-KMS 加密目录存储桶中的新对象,必须将具有 KMS 密钥(特别是 customer managed key)的 SSE-KMS 指定为目录存储桶的默认加密配置。然后,在为可用区端点 API 操作创建会话时,将在会话期间使用 SSE-KMS 和 S3 存储桶密钥自动加密和解密新对象。有关目录存储桶中加密覆盖行为的更多信息,请参阅 Specifying server-side encryption with Amazon KMS for new object uploads

S3 存储桶密钥在 Amazon S3 内限时使用,从而进一步减少了 Amazon S3 向 Amazon KMS 发出请求以完成加密操作的需求。有关使用 S3 存储桶密钥的更多信息,请参阅 Amazon S3 存储桶密钥使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本

需要 SSE-KMS

如果要求对特定目录存储桶中的所有对象使用 SSE-KMS,可以使用存储桶策略。例如,当您使用 CreateSession API 操作授予上传新对象的权限(PutObjectCopyObjectCreateMultipartUpload)时,如果 CreateSession 请求不包括用于请求 SSE-KMS 的 x-amz-server-side-encryption-aws-kms-key-id 标头,则以下存储桶策略将拒绝向任何人授予上传对象权限 (s3express:CreateSession)。

{
   "Version":"2012-10-17",
   "Id":"UploadObjectPolicy",
   "Statement":[{
         "Sid":"DenyObjectsThatAreNotSSEKMS",
         "Effect":"Deny",
         "Principal":"*",
         "Action":"s3express:CreateSession",
         "Resource":"arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3/*",
         "Condition":{
            "Null":{
               "s3express:x-amz-server-side-encryption-aws-kms-key-id":"true"
            }
         }
      }
   ]
}

如要求使用特定 Amazon KMS key 对存储桶中的对象进行加密,可以使用 s3express:x-amz-server-side-encryption-aws-kms-key-id 条件键。要指定 KMS 密钥,必须使用 arn:aws:kms:region:acct-id:key/key-id 格式的键 Amazon 资源名称(ARN)。Amazon Identity and Access Management 不验证 s3express:x-amz-server-side-encryption-aws-kms-key-id 的字符串是否存在。Amazon S3 用于对象加密的 Amazon KMS 密钥 ID 必须与策略中的 Amazon KMS 密钥 ID 匹配,否则 Amazon S3 会拒绝请求。

有关如何将 SSE-KMS 用于新对象上传的更多信息,请参阅为目录存储桶中的新对象上传指定具有 Amazon KMS 的服务器端加密(SSE-KMS)

有关目录存储桶的特定条件键的完整列表,请参阅使用 IAM 对区域端点 API 操作进行授权

加密上下文

对于目录存储桶,加密上下文 是一组键值对,其中包含有关数据的上下文信息。不支持额外的加密上下文值。有关加密上下文的更多信息,请参阅加密上下文

默认情况下,如果您在目录存储桶上使用 SSE-KMS,Amazon S3 将使用存储桶 Amazon 资源名称(ARN)作为加密上下文对:

arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3

确保 IAM 策略或 Amazon KMS 密钥策略使用存储桶 ARN 作为加密上下文。

可以选择通过在可用区端点 API 请求(例如 CreateSession)中使用 x-amz-server-side-encryption-context 标头,来提供显式加密上下文对。此标头的值是 UTF-8 编码的 JSON 的 Base64 编码字符串,其中包含作为键值对的加密上下文。对于目录存储桶,加密上下文必须与默认加密上下文 [即存储桶 Amazon 资源名称(ARN)] 相匹配。此外,由于加密上下文未加密,请确保它不包含敏感信息。

您可以使用加密上下文来标识和分类加密操作。还可以通过查看哪个目录存储桶 ARN 与哪个加密密钥一起使用,来使用默认加密上下文 ARN 值跟踪 Amazon CloudTrail 中的相关请求。

在 CloudTrail 日志文件的 requestParameters 字段中,如果您在目录存储桶上使用 SSE-KMS,则加密上下文值为存储桶的 ARN。

"encryptionContext": {
    "aws:s3express:arn": "arn:aws:s3:::arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
}

此外,要在目录存储桶中使用 SSE-KMS 为对象加密,Amazon KMS CloudTrail 事件将记录存储桶 ARN 而不是对象 ARN。

发送对 Amazon KMS 加密对象的请求

只能通过 HTTPS(TLS)访问目录存储桶。此外,目录存储桶使用 Amazon 签名版本 4(SigV4)对请求进行签名。有关发送针对 Amazon KMS 加密对象的请求的更多信息,请参阅发送对 Amazon KMS 加密对象的请求

如果对象使用 SSE-KMS,则不应对 GET 请求和 HEAD 请求发送加密请求标头。否则,您会收到 HTTP 400 错误请求错误。

审计目录存储桶中的 SSE-KMS 加密

要审计为 SSE-KMS 加密数据使用 Amazon KMS 密钥的情况,您可以使用 Amazon CloudTrail 日志。您可以深入了解自己的加密操作,例如 GenerateDataKeyDecrypt。CloudTrail 支持多种属性值来筛选您的搜索,包括事件名称、用户名和事件源。

主题