Как мы можем включить шифрование для конкретной папки в S3

Question

Я создал корзину S3. Я хочу зашифровать объекты внутри определенной папки в корзине S3. Как я могу это сделать?

Answer 1

Шифрование папки с помощью консоли Amazon S3

1. Откройте консоль Amazon S3.

2. Перейдите к папке, которую вы хотите зашифровать.

3. Выберите папку, а затем выберите Действия.

4. Выберите Изменить шифрование.

5. В качестве Изменить шифрование выберите AWS-KMS.

6. Для Выберите ключ, выберите ключ AWS KMS, которым вы хотите зашифровать папку.

7. Выберите Сохранить.

Answer 2

• У нас есть Шифрование на стороне сервера и Шифрование на стороне клиента
• Защита данных с использованием шифрования на стороне сервера У вас естьтри взаимоисключающих варианта в зависимости от способа управления ключами шифрования aws docs
• Использование шифрования на стороне сервера с ключами, управляемыми Amazon S3 (SSE-S3)
• Использовать шифрование на стороне сервера с ключами, хранящимися в AWS KMS (SSE-KMS)

• Использовать шифрование на стороне сервера с предоставленными клиентом ключами (SSE-C)

  ЗащитаДанные с использованием шифрования на стороне сервера ( SSE-S3 )

• Вы можете установить политику для определенного сегмента, чтобы разрешить шифрование данных только для всехобъекты внутри этого сегмента aws doc

• Обратите внимание, что в вашем случае для политики S3 было бы так, предполагая это как структуру сегмента outbound/globalscape/dlearn.

• Перейдите в консоль aws -> нажмите на исходящую папку -> и затем на разрешения ->политика корзины -> и вставьте приведенную ниже политику и сохраните политику

  S3 для корзины

{
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::outbound/globalscape/dlearn/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::outbound/globalscape/dlearn/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

• Политика корзиныотклоняет разрешения на загрузку объекта, если запрос не включает заголовок x-amz-server-encryption для запроса шифрования на стороне сервера.

"s3:x-amz-server-side-encryption": "AES256"

• Этот блог aws Как предотвратить загрузку незашифрованных объектов в Amazon S3 , который в основном делает то же самое, чтобы проверить, перейти к ( Реализация варианта использования № 1: Использование управляемых ключей SSE-S3) в блоге.
• В приведенном выше блоге перейдите на Тестирование решений , где они используют Policy Simulator для тестирования.Там также пользовательская политика, которую они вам дали, должна будет заменить этот битовый "Resource": "arn:aws:s3:::outbound/globalscape/dlearn/*" объект на прикрепленном изображении снова на ваше ведро arn:aws:s3:::outbound/globalscape/dlearn/.
• , после чего вы можете протестировать его, сохранив значениеAES256 и однажды оставив это поле пустым.