【AWS徵文】AWS 數據加密知識點

獨的權限，該密鑰可進一步防止未經受權地訪問 Amazon S3 中的對象。SSE-KMS 還向您提供審覈跟蹤，顯示您的 CMK 的使用時間和使用者。此外，您還能夠建立和管理客戶託管 CMK，或者使用您、服務和區域獨有的 AWS 託管 CMK。有關更多信息，請參閱使用具備 AWS Key Management Service 中存儲的 CMK 的服務器端加密 (SSE-KMS) 保護數據。

• 每一個對象使用惟一數據祕鑰加密

具備客戶提供密鑰的服務器端加密 (SSE-C)

使用具備客戶提供密鑰的服務器端加密 (SSE-C) 時，您管理加密密鑰，而 Amazon S3 管理加密（在它對磁盤進行寫入時）和解密（在您訪問您的對象時）。有關更多信息，請參閱經過使用客戶提供的加密密鑰的服務器端加密 (SSE-C) 保護數據。

• 全部對象使用相同的祕鑰加密（客戶端提供的）

客戶端加密

客戶端加密 是在將數據發送到 Amazon S3 以前加密數據的行爲。要啓用客戶端加密，您能夠選擇如下方法：

使用 AWS KMS 中存儲的 CMK

在上傳對象時 — 經過使用客戶主密鑰 (CMK) ID，客戶端先向 AWS KMS 發送請求以獲取可用於加密對象數據的 CMK。AWS KMS 返回兩個隨機生成的數據密鑰版本：

• 客戶端用於加密對象數據的數據密鑰的純文本版本
• 客戶端將做爲對象元數據上傳到 Amazon S3 的同一數據密鑰的密碼 blob

下載對象時 — 客戶端首先從 Amazon S3 下載加密的對象以及做爲對象元數據存儲的數據密鑰的密碼 blob 版本。而後，客戶端將密碼 blob 發送到 AWS KMS 以獲取密鑰的純文本版本，以便讓客戶端解密對象數據。

客戶端將爲其上傳的每一個對象獲取一個惟一的數據密鑰。

使用在應用程序中存儲的主密鑰

• 上傳對象時 — 將客戶端主密鑰提供給 Amazon S3 加密客戶端。該客戶端僅使用該主密鑰來加密客戶端隨機生成的數據加密密鑰。該過程的工做方式以下所示：
  1. Amazon S3 加密客戶端在本地生成一個一次性對稱密鑰 (也稱爲「數據加密密鑰」或「數據密鑰」)。它使用數據密鑰加密單個 Amazon S3 對象的數據。該客戶端將爲每一個對象生成一個單獨的數據密鑰。
  2. 該客戶端使用您提供的主密鑰來加密數據加密密鑰。客戶端會將加密的數據密鑰及其材料說明做爲對象元數據的一部分上傳。該客戶端利用材料描述來肯定要用於解密的客戶端主密鑰。
  3. 該客戶端將加密數據上傳到 Amazon S3 並在 Amazon S3 中將加密數據密鑰保存爲對象元數據 (x-amz-meta-x-amz-key)。
• 下載對象時 — 該客戶端從 Amazon S3 下載加密的對象。經過使用對象元數據中的材料說明，該客戶端將肯定要用於解密數據密鑰的主密鑰。該客戶端將使用該主密鑰解密數據密鑰，而後使用該數據密鑰對對象進行解密。

您提供的客戶端主密鑰能夠是對稱密鑰，也能夠是公有/私有密鑰對。

• SSE-KMS 須要額外的費用，使用 SSE-S3/SSE-C 免費

2、KMS 祕鑰自動輪換方式

• 備用密鑰管理。AWS KMS 會保留 CMK 的全部備用密鑰，即便密鑰輪換處於禁用狀態。只有刪除 CMK 後纔會刪除備用密鑰。若是使用 CMK 進行加密，AWS KMS 會使用當前的備用密鑰。若是使用 CMK 進行解密，AWS KMS 會使用加密時所用的備用密鑰。
• 啓用和禁用密鑰輪換。默認狀況下，客戶管理的 CMK 的自動密鑰輪換處於禁用狀態。當您啓用（或從新啓用）密鑰輪換時，AWS KMS 會在啓用日期 365 天后自動輪換 CMK，並在此後每隔 365 天輪換一次。
• 已禁用的 CMK。 禁用 CMK 後，AWS KMS 不會對它進行輪換。可是，密鑰輪換狀態不會發生改變，而且在 CMK 處於禁用狀態時不能對其進行更改。從新啓用 CMK 後，若是備用密鑰已超過 365 天，AWS KMS 會當即輪換，並在此後每隔 365 天輪換一次。若是備用密鑰少於 365 天，AWS KMS 會恢復原始密鑰輪換計劃。
• 待刪除的 CMK。 對於待刪除的 CMK，AWS KMS 不會對它進行輪換。密鑰輪換狀態設爲 false，處於待刪除狀態時不能更改。若是刪除被取消，將恢復以前的密鑰輪換狀態。若是備用密鑰已超過 365 天，AWS KMS 會當即輪換，並在此後每隔 365 天輪換一次。若是備用密鑰少於 365 天，AWS KMS 會恢復原始密鑰輪換計劃。
• AWS 託管 CMK。 對於 AWS 託管 CMK，您沒法管理其密鑰輪換。AWS KMS 每隔三年（1095 天）自動輪換一次 AWS 託管 CMK。
• AWS 擁有的 CMK。 對於 AWS 擁有的 CMK，您沒法管理其密鑰輪換。AWS 擁有的 CMK 的密鑰輪換策略由建立和管理 CMK 的 AWS 服務肯定。有關詳細信息，請參閱服務的用戶指南或開發人員指南中的靜態加密 主題。
• AWS 服務。在 AWS 服務中，您能夠在用於服務器端加密的 客戶託管 CMK 上啓用自動密鑰輪換。年度輪換是透明的，並與 AWS 服務兼容。
• 監控密鑰輪換。 當 AWS KMS 自動輪換 AWS 託管 CMK 或客戶託管 CMK 的密鑰材料時，會將 KMS CMK Rotation (KMS CMK 輪換) 事件寫入 Amazon CloudWatch Events 中。您能夠經過該事件驗證 CMK 是否已輪換。
• 不支持的 CMK 類型。 如下類型的 CMK 不 支持自動密鑰輪換，但您能夠手動輪換這些 CMK。