AWS S3加密

最新推荐文章于 2024-04-16 10:32:53 发布
最新推荐文章于 2024-04-16 10:32:53 发布
阅读量828 收藏
点赞数 1
分类专栏: AWS SAP认证 文章标签: aws 网络 服务器 aws认证 AWS培训 S3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iloveaws/article/details/133879434
版权

在这里插入图片描述

Hello大家好。 在本课时我们将讨论S3加密相关的内容。

S3加密相关是认证考试的一个重要的主题考点,您需要了解亚马逊S3的几种不同类型的加密方式。|

首先是静态数据的加密,静态数据加密是指数据存储在亚马逊S3 数据中心的磁盘上时,对数据进行保护;这个很好理解,对存储在磁盘上静止的数据进行加密就是静态数据加密;

然后是传输过程中的数据加密,是指数据发往和离开Amazon S3时对数据进行加密保护。您可以使用安全套接字层/传输层安全性 (SSL/TLS) 或客户端加密来保护传输中的数据。

那对于静态数据加密,有几个不同的选项,我们一起来看一下。

在这里插入图片描述

首先大家要知道,这几种加密方式的不同之处主要取决于您选择如何管理加密密钥。

SSE-S3
首先,我们看下S3托管密钥的服务器端加密, 缩写为SSE-S3。

顾名思义这种方式密钥由亚马逊S3服务进行管理,每个对象均使用唯一密钥进行加密;然后作为额外的保护,将使用定期轮换的主密钥在加密这个唯一密钥本身。
使用256位高级加密标准AES-256来加密您的数据。

加密和解密的动作都是在S3进行的,当您的数据写入存储桶时,数据将会被加密;而当从存储桶读取数据时,数据将会被解密。但是这并不意味着数据会明文在网络中传输,因为我们在访问S3时是使用了证书通过HTTPS的方式,当数据通过网络传输时,其实是通过一个加密的隧道。但实际数据本身,一旦到达目的地仍然是明文的。

因此,如果我们有个客户端,客户端将一个对象上传到S3,S3将对其进行加密;然后当客户端从S3中读取该对象时,S3将对其进行解密。

SSE-KMS
第二种加密的选项是在AWS KMS中存储KMS密钥的服务器端加密,缩写为SSE-KMS。

这种方式密钥是由KMS服务进行管理的,KMS即亚马逊的密钥管理服务。您可以使用KMS的AWS托管密钥,或者您也可以创建客户托管密钥对数据进行加密。

加密和解密也是在存储桶上进行的,当客户端将数据写入S3,S3对该数据进行加密;当客户端读取数据时,S3对数据进行解密。

在这里插入图片描述

SSE-C
第三种加密的选项称为具有客户提供密钥的服务器端加密,缩写为SSE-C。

这种方式密钥是由客户也就是您进行管理,而不是存储在AWS上。但是加密和解密的动作仍然是在AWS上进行。这种方式提供给客户对于密钥更多的控制权。

以上三种是S3服务器端加密的3种选项。

客户端加密选项
那接下来的加密选项不是服务器端加密,而是客户端加密选项。

客户端加密意味着数据要在客户端完成加密,客户也就是您需要管理加密过程、加密密钥和密钥轮转等等;密钥不会存储在AWS上,你也可以使用KMS的CMK客户托管密钥,将其导出并使用。

客户端加密是在客户端进行,AWS对此一无所知,你自行在客户端加密数据,然后将其上传到S3,这样存储桶内存储的就是加密后的数据;

当您下载数据后,是在客户端侧进行解密。在AWS上无法解密这些数据,因为密钥是由您管理的,可能存储在您的数据中心的某个系统内。

在这里插入图片描述

默认加密配置
可以为S3存储桶配置默认加密,配置时可以选择我们想要使用的加密类型,就是前面讲的那些加密选项。

配置后,写入存储桶的所有新的对象将使用您指定的加密类型进行加密。

请注意,这里我重点提到了新的对象,之前在存储桶中已经存在的对象不会被加密。就是说当您启用了默认加密功能,如果您存储桶中在启用前已经存在的对象,他们将不会被加密。新的对象,也就是您启用默认加密后在上传的对象将会被加密。

这里提到的默认加密配置,是使用前面讨论的服务器端加密选项之一。

正如我前面讲到的,启用后S3将在您将对象上传到S3时进行加密,然后在您将其从S3中下载时对其进行解密。

在启用默认加密之前,存储桶中已经存在的对象的加密状态不会更改。

阻止上传未加密的对象

在这里插入图片描述

最后,我们来看下如何通过存储桶策略阻止上传未加密的对象。

我们看下这个策略的内容,首先,任何主体,对资源这里配置我们的存储桶的arn的putobject也就是上传对象的操作都是被拒绝的。存储桶ARN后面加上/*,代表我们放入存储桶中的所有对象。

然后注意condition配置,字符串不等于s3:x-amz-servrer-side-encryption的值为AES256。这个存储桶策略的意思是除非上传对象使用SSE-S3进行加密,才允许上传到这个指定的存储桶。如果您希望使用SSE-KMS,就可以用AWS:KMS替换这里的AES256。

然后下面这段策略,前面和上面内容一样,拒绝任何主体上传对象到我们指定的这个存储桶,然后condition配置,null对应s3:x-amz-server-side-encryption值为真。

这段策略的作用是在上传对象时,如果没有对其进行加密,那么就不允许进行上传。

这是一个PUT请求的例子,我们可以在这里看到服务器端加密标头值为AES256,因此这个对象将会被加密并允许上传到这个存储桶。

好的,以上就是本课时的内容,本课时我们讨论了S3加密的内容,感谢大家的观看,希望能够给大家带来帮助。

沉默恶魔
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS S3 服务器加密 SSE-KMS 后, S3 中文件访问不了
shenghuiping2001的专栏
05-15 1146
今天做了实验,实现了aws 服务器端的两种加密方式,sse-s3S3 中的文件访问没有任何影响,但是sse-kms 加密后,URL 访问不了了: 1: 先创建一个kms:(熟悉KMS 可以把操作用户也加进去) 2: S3 的属性中用这个KMS 加密: 3: 访问s3, 就会出现如下的报错: 4: 如果改成SSE-s3加密,就可以访问s3 上面的 文件啦。 出现这个问题的原因是因为:通过浏览器来访问对象时,所发出的get请求并不是通过AWS SigV4签名之后发出的,所以这些请
列出AWS S3桶密钥下的所有项目
Sslhow的博客
05-01 446
AWS S3中,有一个名为my-bucket ,使用AWS Ruby SDK ,可以通过ruby代码列出my-bucket下的所有项目: require 'aws-sdk' s3 = Aws::S3::Resource.new(region: 'us-west-2') bucket = s3.bucket('my-bucket') # Show only the first 50 items bucket.objects.limit(50).each do |item| puts "...
Amazon-S3:从AWS S3云存储存储和检索文件的应用程序
05-13
亚马逊S3 用于存储和检索AWS S3云存储中文件的应用程序。 使用基于RSA和AES的加密对存储的文件进行加密。 设计 有关设计,请参见 。 特征 能够选择要使用的加密密钥对。 能够选择要存储在云中的本地文件。 能够选择要存储在云中的目录文件。 列出存储在S3上的文件。 取回存储在S3上的文件。 向用户显示操作进度。 怎么跑 应用程序需要AWS Toolkit。 要求 AWS帐户和S3已启用。 该应用程序需要访问密钥ID和秘密访问密钥才能使用AWS API。 这些可以添加到“ /home/username/.aws/”文件夹中的凭据文件中。 使用终端的步骤 编译 javac -cp lib/aws-java-sdk-1.9.23.jar:lib/commons-logging-1.1.3.jar:lib/jackson-databind-2.3.2.jar:lib/jac
aws rds 加密_如何在AWS S3上存储加密文件
weixin_26636643的博客
09-27 859
aws rds 加密AWS S3 storage offers four ways of server-side data encryption: AWS S3存储提供了四种服务器端数据加密方式: SSE-S3, where the encryption keys are managed by AWS. SSE-S3,其中加密密钥由AWS管理。 SSE-KMS, where the encryp...
第二篇:你的S3文件存储需要加密
最新发布
liuwenqiang1314的博客
04-16 389
最近遇到一个需求,需要给我们的minio集群上传的文件进行加密,领导给了我一周调研+开发,哥一想这也要五天?看来又能有三天时间摸鱼了,于是上去就是一顿百度,找到了一篇文章,上去就是一顿"借鉴"。
AWS实战 - 对S3数据加密方式的总结
weixin_33836874的博客
12-10 2719
名词解释 KMS: AWS Key Management Service,AWS的密钥托管服务; 数据加密密钥: 用于对S3对象进行加密的密钥; 主密钥: 也叫客户主密钥或CMK,根据不同的加密方式,主密钥有可能直接用于加密S3对象,也有可能用于加密数据加密密钥; 托管: 在本文中,是指对密钥进行管理,包括对密钥的创建、启用、停...
开始准备AWS Developer认证考试--服务器加密保护数据S3
weixin_30321709的博客
08-28 190
您有三个互斥选项,具体取决于您选择如何管理加密密钥: 使用具有 Amazon S3 托管密钥的服务器加密 (SSE-S3)– 使用唯一密钥加密每个对象。作为额外的保护,它将使用定期轮换的主密钥对密钥本身进行加密。Amazon S3 服务器加密使用可用的最强数据块密码之一(即 256 位高级加密标准 (AES-256))来加密您的数据。有关更多信息,请参阅使用具有 A...
S3安全和加密选项
weixin_42230010的博客
02-28 440
加密,即使用HTTPS而不是HTTP来传输从S3到客户端之间的数据。
SAA高频题目知识点总结(1)——加密
weixin_43420057的博客
12-12 1038
一、加密 (一)S3: 1.对存储在S3中的数据进行加密: (1)服务器加密:SSE-S3、SSE-C、SSE-KMS SSE-S3:是一种集成式解决方案。由Amazon来管理密钥。Amazon 通过其使用多个安全层处理密 钥管理和密钥保护问题。 SSE-C:客户自身来管理密钥——用来对S3中的对象进行加密和解密操作 SSE-KMS:使用 AWS KMS 管理客户的密钥。利用 A...
AWS s3 文件上传,下载(Android demo),类似minio
05-12
在本文中,我们将深入探讨如何在Android应用程序中实现AWS S3(Amazon Simple Storage Service)的文件上传和下载功能,以及如何自定义服务器配置,包括设置IP、Access Key和Secret Key。首先,让我们理解AWS S3的...
VS2010 C++ 支持的SSE相关函数整理(SSE(1,2,3,s3,4.1,4.2,4a))
05-17
最近整理的VS2010所支持的VC下可以调用的SSE相关函数包括SSE(1,2,3,s3,4.1,4.2,4a))。
aws-s3:用于与AWS S3同步文件的实用程序
04-19
6. **安全性与访问控制**:S3支持多种安全机制,如访问控制列表(ACL)、资源策略、IAM角色和策略以及SSE加密服务器加密),以保护数据安全。 7. **预签名URL**:对于需要向非AWS认证用户提供临时访问对象的...
aws-s3
03-21
3. **安全性**:S3支持多种安全措施,如访问控制列表(ACLs)、身份和访问管理(IAM)、S3权限策略、SSE-C/SSE-KMS/SSE-AWS KMS服务器加密,以及VPC端点,确保数据在传输和存储时的安全。 4. **版本控制**:S3...
S3FileUploadscheduler:AWS S3 File Upload Scheduler是一个控制台应用程序,可从数据库中获取数据,并在特定日期和时间加密并上传到AWS S3存储桶
04-07
AWS提供了多种加密选项,如SSE-S3服务器加密,使用AWS管理的密钥),SSE-C(服务器加密,使用客户提供的密钥)或SSE-KMS(服务器加密,使用AWS Key Management Service管理的密钥)。 ### 6. 文件上传策略 ...
UploadToS3:将图像上传到AWS S3的实用程序
05-11
10. **安全性最佳实践**:在使用UploadToS3时,确保遵循AWS的安全最佳实践,例如使用SSL/TLS加密传输数据,限制IAM用户权限,以及定期审计和更新安全配置。 综上所述,UploadToS3项目为开发者提供了一个强大的工具...
AWS S3云存储服务
weixin_54719086的博客
03-08 6257
云存储服务
MinIO对象存储加密实践
热门推荐
lichanggu的博客
04-29 1万+
1、关于MinIO对象存储加密 MinIO对象存储支持服务端加密和客户端加密。 1.1 服务端加密 服务端在对象落盘之前加密对象,下载对象时由服务端自动解密。 MinIO支持的服务端加密又有两种具体的方式: SSE-S3(使用S3托管密钥的服务器加密) SSE-C(使用客户托管密钥的服务器加密) 1.2 客户端加密 客户端加密对象,然后上传服务端。下载对象时也由客户端解密。 2、MinIO加密实践 2.1 SSE-S3加密实践 MinIO使用密钥管理系统(KMS)支持SSE-S3(使用S3托管密钥的
AWS KMS加密和解密
BAStriver的博客
09-04 2143
用于创建和管理加密密钥,在 AWS KMS 中创建的客户主密钥均受硬件安全模块 (HSM) 保护。
aws s3 详细说明一下
06-14
AWS S3(Simple Storage Service)是AWS提供的一项托管云存储服务,它可以存储和检索任意数量和类型的数据对象,例如文件、图像、视频、文档、数据库备份等,用户可以使用简单的API或AWS管理控制台来管理存储桶和对象。以下是AWS S3的详细说明: 1. 数据存储:AWS S3可以存储任意数量和类型的数据对象,每个对象最大可以达到5TB。用户可以按照需求选择不同的存储级别,例如标准、标准IA、智能分层等,以平衡成本和性能。 2. 数据保护:AWS S3提供多种数据保护功能,例如数据加密、访问控制、存储桶策略、版本控制、跨区域复制等,以保障数据的安全性和可用性。用户也可以根据需要自定义加密和访问控制等设置。 3. 数据检索:AWS S3可以根据不同的检索方式快速地检索和访问存储的数据对象,例如基于前缀、标签、时间戳等。用户也可以使用AWS S3 Select和AWS S3 Inventory等高级功能进行更复杂的数据分析和检索。 4. 数据管理:AWS S3提供多种数据管理功能,例如生命周期配置、存储桶日志、事件通知等,以帮助用户管理和优化存储的数据对象。用户可以根据需要自定义生命周期配置和事件通知等设置。 5. 数据传输:AWS S3可以在AWS内部和外部进行数据传输,例如使用AWS Direct Connect、AWS Snowball等服务进行快速数据传输。用户也可以使用AWS S3 Transfer Acceleration和AWS S3 Sync等高级功能进行更快、更可靠的数据传输。 总之,AWS S3是一项可靠、安全、高效、易用的托管云存储服务,它可以满足不同用户的数据存储和管理需求,例如数据备份、归档、分发、分析等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值