S3 Bucket Encryption - KMS против AES256

Question

Когда я SSE-S3 зашифровываю корзину (объекты) с помощью AES256 и делаю ее общедоступной.Содержимое ведра видно.Однако это не относится к AWS KMS, которая выдает следующую ошибку:

Requests specifying Server Side Encryption with AWS KMS managed keys require AWS Signature Version 4.

Как конечный пользователь может просматривать объект в AES256 в зашифрованном виде?

Использование шифрования на стороне сервера с ключами, управляемыми Amazon S3 (SSE-S3). Каждый объект шифруется уникальным ключом с использованием надежного многофакторного шифрования.В качестве дополнительной гарантии он шифрует сам ключ с помощью главного ключа, который он регулярно вращает.Для шифрования данных на стороне сервера Amazon S3 используется один из самых надежных блочных шифров, 256-битный расширенный стандарт шифрования (AES-256).

В соответствии с этим, если я понимаю,объект зашифрован, для него требуются ключи дешифрования или в мире AWS доступ к ключу, который его расшифровывает.Пожалуйста, объясните, чем AES256 отличается от KMS.(Кроме ключевых политик, предоставляемых AWS в KMS)

Answer 1

Шифрование на стороне сервера в S3 всегда AES256, независимо от того, используете ли вы SSE-S3 или SSE-KMS.

В обоих случаях S3 использует ключ для прозрачного шифрования объектадля хранения и расшифровки объекта по запросу.Пользователь, получающий доступ к объекту, не видит зашифрованный объект ни в одном из случаев.

В SSE-S3 S3 владеет и контролирует ключи, поэтому разрешение на загрузку или загрузку включает в себя неявное разрешение для S3 на доступ к ключам, которые оннеобходим для доступа к объекту.

Уровень шифрования одинаков, независимо от того, используете ли вы SSE-S3 или SSE-KMS, но SSE-KMS накладывает более строгие ограничения безопасности на доступ к объектам, включая обязательное использованиеHTTPS и версия подписи 4.