在AWS S3加密中,哪种技术为加密密钥提供轮换策略?
我正在阅读推荐的是SSE-KMS,但在某些地方,问题会被问到,比如";Amazon SSE-S3密钥轮换是如何工作的">
那么,哪一个支持按键旋转?如果两者都支持按键旋转,建议使用哪一个?
有几种加密S3对象的方法(或在bucket上设置默认加密(。下面我只提到服务器端加密(即在AWS端执行的加密,而不是在客户端执行的加密(:
-
SSE-S3-是免费的,使用AWS拥有的CMK(CMK=客户主密钥(。加密密钥由AWS拥有和管理,并在许多帐户之间共享。其旋转是自动随时间变化,如下表所示。时间没有明确定义。
-
SSE-KMS-有两种口味:
- AWS管理的CMK。这是只为您的帐户生成的免费CMK。您只能查看它的策略和审核使用情况,但不能管理它。轮换是自动的-每1095天(3年(一次
- 客户管理的CMK。这使用您自己创建并可以管理的密钥。默认情况下,旋转未启用。但如果启用它,它将每1年自动轮换一次。此变体也可以使用您导入的关键材料。如果使用导入的材质创建此类关键帧,则不会自动旋转。仅手动旋转
-
SSE-C-客户提供的密钥。加密密钥完全由您在AWS之外进行管理。AWS不会旋转它。
推荐哪一个?
这取决于情况。一般来说,SSE-S3就足够了,它简化了许多操作,例如对加密对象的跨帐户访问。但由于一些外部要求(监管问题(,必须使用其他加密选项。
例如,您可能需要每6个月轮换一次加密密钥。在这种情况下,SSE-S3或带有AWS托管CMK的SSE-KMS都适用,您必须使用带有客户托管密钥的KMS并手动旋转它。