S3提供新的加密服務(wù)：用戶自定義的加密密鑰

【編者按】近日，AWS官方博客發(fā)布博文表示AWS云服務(wù)提供了全新的S3加密方法和密鑰管理服務(wù)。除了原先的客戶端加密密鑰和服務(wù)器端加密密鑰外，現(xiàn)在還提供了用戶自定義的加密密鑰的加密方式。使用起來非常簡單，您只需簡單的提供你的加密密鑰作為PUT的一部分，剩下將由S3為您完成。

訂閱“AWS中文技術(shù)社區(qū)”微信公眾號，實時掌握AWS技術(shù)及產(chǎn)品消息！

AWS中文技術(shù)社區(qū)為廣大開發(fā)者提供了一個Amazon Web Service技術(shù)交流平臺，推送AWS最新資訊、技術(shù)視頻、技術(shù)文檔、精彩技術(shù)博文等相關(guān)精彩內(nèi)容，更有AWS社區(qū)專家與您直接溝通交流！快加入AWS中文技術(shù)社區(qū)，更快更好的了解AWS云計算技術(shù)。

以下為譯文：

在Amazon S3中存儲了數(shù)以億計的數(shù)據(jù)，每秒的訪問量達到了百萬次。

隨著S3用戶量的增長，我們需要額外的方法來保護動態(tài)（發(fā)送或接受給S3的數(shù)據(jù)）或靜態(tài)（存儲在S3上的數(shù)據(jù)）的數(shù)據(jù)請求。但是，我們需要這個方法能夠滿足SSL的使用要求，因為S3從一開始就對SSL提供了支持。對于靜態(tài)數(shù)據(jù)的保護，我們有如下幾個選擇。第一，在客戶端環(huán)境下，使用客戶端加密密鑰來加密數(shù)據(jù)。這個方法僅針對在Ruby和Java上使用AWS SDKs的用戶。第二個選項是所有用戶都可以使用的，即使用服務(wù)器端加密密鑰。

現(xiàn)在，我們又提供第三個選項，用戶自定義加密密鑰來加密數(shù)據(jù)。用戶可以使用現(xiàn)存的服務(wù)器端加密密鑰模型并且讓AWS來管理用戶的密碼，也可以自行管理密碼并從服務(wù)器端的加密密鑰服務(wù)中獲得幫助。

現(xiàn)在，您可以使用您自己管理的密鑰在S3上存儲數(shù)據(jù)，而無需像許多用戶曾經(jīng)做過的一樣，需要構(gòu)建，維護和擴展自己的客戶端加密的隊列。

使用自己的密鑰

我們可以通過S3 API來使用這個新的方法。這個方法使用起來非常簡單，您只需簡單的提供你的加密密鑰作為PUT的一部分，剩下將由S3為您完成。它會使用您的密鑰和AES-256來加密您的數(shù)據(jù)，并計算出單向散列（校驗），然后迅速從內(nèi)存中刪除您的密鑰數(shù)據(jù)。最后，它會返回一個校驗和作為響應(yīng)，并把校驗和與該對象存儲在一起。具體流程如下：

當(dāng)您需要數(shù)據(jù)時，您只需提供相同的密鑰作為GET的一部分。S3將會對數(shù)據(jù)進行解碼（在驗證了存儲的校驗和和提供的匹配后）并返回解碼后的對象。然后，迅速從內(nèi)存中刪除與密鑰有關(guān)的數(shù)據(jù)。

密鑰的管理

現(xiàn)在您也可以管理您自己的密鑰了，但是請確定您清楚您的每一個密鑰是屬于哪一個數(shù)據(jù)的。您可以將您的密鑰存放在本地，也可以使用AWS Cloud HSM來存放密鑰。AWS Cloud HSM使用專用硬件來幫助您滿足對企業(yè)，合同和遵從法規(guī)所需要的對數(shù)據(jù)安全的要求。

如果您啟用了S3的版本控制功能并存儲了多版本的數(shù)據(jù)，請始終確定這些數(shù)據(jù)、數(shù)據(jù)版本和密鑰之間的關(guān)系，以便在您需要對特定版本的數(shù)據(jù)解密時能夠使用正確的密鑰。同樣的，如果您使用S3生命周期的規(guī)則將數(shù)據(jù)轉(zhuǎn)移到Glacier上，那么您首先必須將對象恢復(fù)到S3，然后使用加密密鑰來恢復(fù)對象。

如果你需要更改數(shù)據(jù)的密鑰，你可以使用S3的復(fù)制操作，并將新的密鑰作為參數(shù)。當(dāng)然，你也可以在你的密鑰管理系統(tǒng)中記錄這一變化。

準備加密吧

這個功能現(xiàn)在已經(jīng)可以使用了。這個加密方法不需要額外付費，而且對于PUT和GET的性能沒有明顯的影響。更多詳細信息，請查看 Server Side Encryption With Customer Keys.

原文鏈接： Use Your own Encryption Keys with S3's Server-Side Encryption

如您需要了解AWS最新資訊或是技術(shù)文檔可訪問AWS中文技術(shù)社區(qū)；如您有更多的疑問請在AWS技術(shù)論壇提出，稍后會有專家進行答疑。

（譯者/陳曉曉責(zé)編/王玉平）

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學(xué)習(xí)有所幫助,可以手機掃描二維碼進行捐贈