Шифрование сегмента AWS S3 - параметр свойства сегмента и параметр политики сегмента
Я создал корзину AWS S3 и включил «Шифрование по умолчанию». Тогда нужно ли мне еще создавать политику корзины, подобную приведенной ниже?
Обратите внимание: я просто хочу сделать s3 зашифрованным в общем виде, не предъявляя особых требований.
"Statement": [
{
"Sid": "DenyIncorrectEncryptionHeader",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::s3_bucket_name/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "AES256"
}
}
},
{
"Sid": "DenyUnEncryptedObjectUploads",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::s3_bucket_name/*",
"Condition": {
"Null": {
"s3:x-amz-server-side-encryption": "true"
}
}
}
]
Ответы 1
Чтобы проверить это, я создал ведро и активировал Шифрование по умолчанию.
Когда я затем попытался загрузить файл через Консоль управления, он сказал:
If this bucket is setup for default encryption, S3 will encrypt objects as per bucket settings.
Файл, который я загрузил делал, зашифрован.
Я тогда загрузил файл через интерфейс командной строки AWS:
aws s3 cp foo s3://my-bucket/
Загруженный файл было зашифрован.
Однако обратите внимание, что этот параметр называется Шифрование по умолчанию. Это означает, что, если не указано иное, объект будет зашифрован. Однако он не применяет шифрование, поэтому, если пользователь специально выбрал другой тип шифрования (например, MKS вместо AES256), ему будет разрешено это сделать. (Я не видел, как они могут специально запрашивать «без шифрования».)
Здесь на помощь приходят ваши политики (см. Выше). Они могут применять определенную форму шифрования. Если эти требования не выполняются, то PutObject будет отклонен.
Затем я взял политики шифрования из Как предотвратить загрузку незашифрованных объектов в Amazon S3 | Блог по безопасности AWS (которые, похоже, совпадают с теми, которые вы использовали) и поместил их в Политика ведра.
Затем я попытался загрузить с консоли управления и это не удалось!. Это сработало, только если я специально выбрал «мастер-ключ Amazon S3» в качестве параметра шифрования. Поэтому параметр «Шифрование по умолчанию» несовместим с политиками.
Я также попытался выполнить загрузку с «мастер-ключом AWS KMS» в качестве параметра шифрования и это снова не удалось, потому что это не соответствует политике (которая специально проверяет AES256, а не шифрование KMS).
Нижняя линия: Использование Шифрование по умолчанию приведет к некоторому шифрованию объектов. Политики могут применять определенный тип шифрования.
Спасибо Джону Ротенштейну за тестирование и объяснения. Мое наблюдение заключалось в следующем: если я установил только «шифрование по умолчанию», то с помощью интерфейса командной строки AWS я смогу: aws s3 cp hello.txt s3: // bucketname (или загрузить с имени корзины на локальное) без установки --sse AES256, а если я установить политику корзины, тогда мне нужно использовать: aws s3 cp hello.txt s3: // bucketname --sse AES256. поэтому я был сбит с толку, действительно ли файл зашифрован с использованием только шифрования по умолчанию? если файл уже зашифрован, зачем мне нужна политика корзины?
Джон Ротенштейн: Я не понимаю, каков ваш вывод. если включить шифрование по умолчанию и установить мастер-ключ S3, S3 зашифрует файл для вас, используя способ мастер-ключа s3 (я думаю, AES256). если вы установите AES256 в политике корзины, S3 по-прежнему будет шифровать для вас с помощью AES256. единственная разница для меня в том, что когда я набираю AWS CLI, мне нужно установить --sse AES256 в случае, если установлена политика корзины. в то время как, если для корзины нет политики корзины, мне не нужно указывать --sse AES256
Спасибо Михаилу - sqlbot. Из того, что вы сказали, похоже, что политика корзины и настройка шифрования по умолчанию являются своего рода дубликатами. возможно, мне нужно только включить шифрование по умолчанию.
Еще одно примечание: ключ условия S3
s3:x-amz-server-side-encryptionбыл доступен задолго до того, как была введена опция «Шифрование по умолчанию» для сегментов. Раньше это был единственный способ гарантировать, что хранимые объекты были зашифрованы - требуя его указания при загрузке объекта.