本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon S3 客户端加密使用Amazon SDK for PHP版本 3
使用客户端加密,数据可在您的环境中直接加密和解密。这就意味着,数据在传输到 Amazon S3 之前已加密,您无需依靠外部服务处理加密。对于新的实现,我们建议使用S3EncryptionClientV2
和S3EncryptionMultipartUploaderV2
弃用S3EncryptionClient
和S3EncryptionMultipartUploader
. 建议仍在使用已弃用版本的旧版本的实现尝试迁移。S3EncryptionClientV2
维护对使用旧版加密的数据进行解密的支持S3EncryptionClient
.
Amazon SDK for PHP实施信封加密,并使用 OpenSSL
迁移指南
对于那些试图从弃用的客户端迁移到新客户端的用户,可以找到迁移指南这里.
设置
要开始使用客户端加密,您需要:
-
网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon KMS加密密钥
-
一个 S3 存储桶
运行示例代码之前,请配置Amazon凭证。请参阅的凭证Amazon SDK for PHP版本 3.
加密
在中上传加密对象S3EncryptionClientV2
在标准之上需要三个额外的参数PutObject
参数:
-
'@KmsEncryptionContext'
是一个键值对,可用于为加密对象添加额外的安全层。加密客户端必须传入相同的密钥,它将在获取通话时自动执行此密钥。如果不需要额外的上下文,请传入一个空数组。 -
@CipherOptions
是加密的其他配置,包括要使用的密码器和密钥大小。 -
@MaterialsProvider
是一个处理生成密钥和初始化向量以及加密密钥的提供商。
use Aws\S3\S3Client; use Aws\S3\Crypto\S3EncryptionClientV2; use Aws\Kms\KmsClient; use Aws\Crypto\KmsMaterialsProviderV2; // Let's construct our S3EncryptionClient using an S3Client $encryptionClient = new S3EncryptionClientV2( new S3Client([ 'profile' => 'default', 'region' => 'us-east-1', 'version' => 'latest', ]) ); $kmsKeyId = 'kms-key-id'; $materialsProvider = new KmsMaterialsProviderV2( new KmsClient([ 'profile' => 'default', 'region' => 'us-east-1', 'version' => 'latest', ]), $kmsKeyId ); $bucket = 'the-bucket-name'; $key = 'the-file-name'; $cipherOptions = [ 'Cipher' => 'gcm', 'KeySize' => 256, // Additional configuration options ]; $result = $encryptionClient->putObject([ '@MaterialsProvider' => $materialsProvider, '@CipherOptions' => $cipherOptions, '@KmsEncryptionContext' => ['context-key' => 'context-value'], 'Bucket' => $bucket, 'Key' => $key, 'Body' => fopen('file-to-encrypt.txt', 'r'), ]);
除了 Amazon S3 和Amazon KMS基于服务错误,您可能会收到抛出InvalidArgumentException
对象如果'@CipherOptions'
配置不正确。
解密
除了标准之外,下载和解密对象还有四个附加参数,其中两个是必需的GetObject
参数。客户端将为你检测基本的密码选项。
-
-
'@SecurityProfile'
:如果设置为 'V2',则只有在 v2 兼容中加密的对象 -
格式可以解密。将此参数设置为 “V2_AND_LEGATE” 还允许对以 V1 兼容格式加密的对象进行解密。要支持迁移,请将 @SecurityProfile 设置为 'V2_AND_LEGACY '。仅对新的应用程序开发使用 'V2'。
-
-
-
'@MaterialsProvider'
是一个处理生成密钥和初始化向量的提供商,因为 -
以及对你的密码密钥进行加密。
-
-
-
'@KmsAllowDecryptWithAnyCmk'
:(可选)将此参数设置为 true 启用解密 -
而不是向材料提供构造函数提供 KMS 密钥 ID。默认值为 False。
-
-
-
'@CipherOptions'
(可选)是用于加密的其他配置,包括 -
要使用的密码和密钥大小。
-
$result = $encryptionClient->getObject([ '@KmsAllowDecryptWithAnyCmk' => true, '@SecurityProfile' => 'V2_AND_LEGACY', '@MaterialsProvider' => $materialsProvider, '@CipherOptions' => $cipherOptions, 'Bucket' => $bucket, 'Key' => $key, ]);
除了 Amazon S3 和Amazon KMS基于服务错误,您可能会收到抛出InvalidArgumentException
对象如果'@CipherOptions'
配置不正确。
密码配置
-
'Cipher'
(字符串) -
加密客户端在加密时使用的密码方法。目前只支持 “gcm”。
PHP 通过版本 7.1 的更新S3EncryptionClientV2
和S3EncryptionMultipartUploaderV2
. 但是,使用 polyfill 的大量输入的性能将比使用 PHP 7.1+ 的本机实现要慢得多,因此可能需要升级旧的 PHP 版本环境才能有效地使用它们。
-
'KeySize'
(int) -
生成的用于加密的内容加密密钥的长度。默认为 256 位。有效的配置选项为 256 和 128 位。
-
'Aad'
(字符串) -
可添加到加密负载中的可选“附加身份验证数据”。在解密时将验证此信息。
Aad
仅在使用“gcm”密码时才可用。
并非所有人都支持其他身份验证数据AmazonSDK 以及其他 SDK 可能无法解密使用此参数加密的文件。
元数据策略
您还可以选择提供实施 Aws\Crypto\MetadataStrategyInterface
的类的实例。这个简单的接口可保存和加载 Aws\Crypto\MetadataEnvelope
,其中包含您的信封加密材料。开发工具包提供两个类来实施此功能:Aws\S3\Crypto\HeadersMetadataStrategy
和 Aws\S3\Crypto\InstructionFileMetadataStrategy
。默认情况下使用 HeadersMetadataStrategy
。
$strategy = new InstructionFileMetadataStrategy( $s3Client ); $encryptionClient->putObject([ '@MaterialsProvider' => $materialsProvider, '@MetadataStrategy' => $strategy, '@KmsEncryptionContext' => [], '@CipherOptions' => $cipherOptions, 'Bucket' => $bucket, 'Key' => $key, 'Body' => fopen('file-to-encrypt.txt', 'r'), ]); $result = $encryptionClient->getObject([ '@KmsAllowDecryptWithAnyCmk' => false, '@MaterialsProvider' => $materialsProvider, '@SecurityProfile' => 'V2', '@MetadataStrategy' => $strategy, '@CipherOptions' => $cipherOptions, 'Bucket' => $bucket, 'Key' => $key, ]);
调用 HeadersMetadataStrategy
::classInstructionFileMetadataStrategy
也可提供 和 的类名常量。
$result = $encryptionClient->putObject([ '@MaterialsProvider' => $materialsProvider, '@MetadataStrategy' => HeadersMetadataStrategy::class, '@CipherOptions' => $cipherOptions, 'Bucket' => $bucket, 'Key' => $key, 'Body' => fopen('file-to-encrypt.txt', 'r'), ]);
如果构造文件上传后发生错误,不会自动删除该文件。
分段上传
也可以利用客户端加密执行分段上传。这些区域有:Aws\S3\Crypto\S3EncryptionMultipartUploaderV2
上传之前准备用于加密的源流。使用 Aws\S3\MultipartUploader
和 Aws\S3\Crypto\S3EncryptionClientV2
创建的过程也与此类似。S3EncryptionMultipartUploaderV2
能以与 '@MetadataStrategy'
相同的方式处理 S3EncryptionClientV2
选项,以及所有可用的 '@CipherOptions'
配置。
$kmsKeyId = 'kms-key-id'; $materialsProvider = new KmsMaterialsProviderV2( new KmsClient([ 'region' => 'us-east-1', 'version' => 'latest', 'profile' => 'default', ]), $kmsKeyId ); $bucket = 'the-bucket-name'; $key = 'the-upload-key'; $cipherOptions = [ 'Cipher' => 'gcm' 'KeySize' => 256, // Additional configuration options ]; $multipartUploader = new S3EncryptionMultipartUploaderV2( new S3Client([ 'region' => 'us-east-1', 'version' => 'latest', 'profile' => 'default', ]), fopen('large-file-to-encrypt.txt', 'r'), [ '@MaterialsProvider' => $materialsProvider, '@CipherOptions' => $cipherOptions, 'bucket' => $bucket, 'key' => $key, ] ); $multipartUploader->upload();
除了 Amazon S3 和Amazon KMS基于服务错误,您可能会收到抛出InvalidArgumentException
对象如果'@CipherOptions'
配置不正确。