AWS現在更改Amazon S3物件加密行為,現在S3預設加密所有新的物件,當用戶沒有特別指定加密方法,自動對每一個新物件啟用伺服器端加密(SSE-S3)。目前這項更改已經在所有AWS地區生效,包括AWS GovCloud和AWS中國地區,用戶不需要對預設物件加密支付額外費用。

S3伺服器端加密會以完全透明的方式,處理新物件的加密、解密和金鑰管理,當用戶使用PUT方法上傳物件時,S3伺服器會生成唯一金鑰,以金鑰加密資料,並使用根金鑰來加密該金鑰。

官方提到,這項更改是以自動化執行最佳安全實踐,不會對效能產生影響,用戶也不需要採取額外的措施,未使用預設加密的S3儲存桶,現在會自動應用SSE-S3加密,而原本就預設使用SSE-S3加密的儲存桶則不會有任何變化。

用戶還是可以根據需求,從S3預設加密(SSE-S3)、客戶提供加密金鑰(SSE-C)與AWS金鑰管理服務金鑰(SSE-KMS)三種加密設定選擇需要的方法,同時也能使用客戶端函式庫,在客戶端加密物件,以獲得額外的加密保護。

SSE-S3使用由AWS所管理的256位元金鑰進行AES加密,AWS提到,雖然原本選擇性啟用SSE-S3加密方法也很簡單,但是選擇性的意思,代表著用戶需要配置每一個儲存桶,並且確保這些設定不會因為時間變更,對要求所有物件都使用SSE-S3加密的用戶,這項預設加密更新不需要變更任何工具和客戶端配置,就能符合加密法遵要求。

S3用戶已經可以從CloudTrail資料事件日誌中,看到此項變更帶來的變化,在接下來數周內,用戶還可以從AWS管理控制臺、S3 Inventory、S3 Storage Lens,還有AWS CLI和AWS SDK的附加標頭看到變更。用戶可以配置CloudTrail紀錄資料事件,來驗證儲存桶預設加密,不過CloudTrail預設不紀錄資料事件,啟用該功能需要支付額外費用。

熱門新聞

Advertisement