Мои объекты S3 зашифрованы в состоянии покоя или нет? - PullRequest
Новая
       1

Мои объекты S3 зашифрованы в состоянии покоя или нет?

0 голосов
/ 28 сентября 2018

Я указал следующую политику сегментов для обеспечения шифрования на PUT: 

{
    "Version": "2012-10-17",
    "Id": "PutObjPolicy",
    "Statement": [
        {
            "Sid": "DenyUnEncryptedObjectUploads",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::com.my.bucket/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        }
    ]
}

И

Свойства загруженных объектов сегментов указывают, что они зашифрованы

image properties indicate encrypted

HOWEVER

Мои "свойства корзины" означают, что я НЕ использую шифрование по умолчанию:

bucket encryption settings

и я могу загрузить эти «зашифрованные» изображения с консоли и просматривать их локально после загрузки, что, я надеюсь, было бы невозможно, если бы онидействительно зашифрованы.

Итак ... я достиг "шифрования в покое" или нет?

1 Ответ

0 голосов
/ 29 сентября 2018

Поскольку ваш загруженный объект показывает шифрование как aws-kms, это означает, что он четко зашифрован в состоянии покоя.Вы делаете загрузку непосредственно из s3 UI, по умолчанию шифрование отсутствует.после загрузки вы увидите, что шифрование отсутствует.Шифрование в состоянии покоя означает, что ваши данные хранятся в зашифрованном виде на инфраструктуре дисков / хранилищ s3.Однако это не означает, что он будет отображаться в пользовательском интерфейсе или после загрузки в зашифрованном формате.Когда вы загружаете через SDK, он автоматически расшифровывает данные.Вы всегда получаете расшифрованные данные.Точно так же пользовательский интерфейс s3 показывает расшифрованный контент.То, что вы хотите достичь, это шифрование на стороне клиента.Шифрование на стороне сервера - это шифрование в состоянии покоя.Когда вы выполняете шифрование на стороне клиента, данные передаются на s3 в зашифрованном формате.Опять же, когда вы загружаете, это клиент, который должен расшифровать данные.

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html

Примечание. Термин «отдых» означает, что данные находятся в состоянии покоя (не в состоянии перехода, пока данныееду на с3).Шифрование на стороне сервера - это облегчает шифрование в состоянии покоя.

Шифрование на стороне клиента - это облегчает шифрование как при переходе, так и в состоянии покоя.

Шифрование только при переходе также может быть достигнуто с помощью ssl.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...