AWS KMSは、キーデータ保護をエスクロー有するサーバ側の暗号化(SSE-KMS)
SSE-KMSキーポイントは以下のとおりです。
-
あなたはまた、顧客のために生成されたレベルによってのみ、デフォルトのサービスにサービスの主要領域を使用するように選択することができ、暗号化キーを作成および管理することを選択できます。
-
応答でMD5のETagがオブジェクトデータではありません。
-
あなたのデータを暗号化するために使用されるデータは、彼らが保護するデータを暗号化して保存されます。
-
あなたは回転は、AWS KMSコンソールから作成または主キー監査を無効にすることができます。
-
セキュリティは、AWS KMSを使用すると、暗号化に関連したコンプライアンス要件を満たすことができます制御します。
暗号化サーバ(SSE-S3)ホストされたAmazon S3の保護された暗号鍵データを持ちます
サーバー側の暗号化は、静的なデータを保護します。Amazon S3は、各オブジェクトの一意のキーを使用して暗号化。追加の保護として、それ自体が暗号化されているキーの定期的な回転のマスターキーを使用します。Amazon S3のサーバ側での暗号化が可能な最強のブロック暗号のいずれかを使用してデータを暗号化するために(256ビットのAdvanced Encryption Standard(AES-256))。
あなたが暗号化のバケットに保存されているサーバー側のすべてのオブジェクトを実行する必要がある場合は、バケットの戦略を使用しています。サーバーを要求するための要求が暗号化され含まれていない限り、たとえば、次のポリシーバケットは、オブジェクトをアップロードする権限を拒否された x-amz-server-side-encryption ヘッダを
暗号化サーバの顧客の暗号化キーを使用してデータを保護(SSE-C)
サーバー側の暗号化(SSE-C)の顧客によって提供される暗号化キーを使用すると、独自の暗号化キーを設定することができます。要求の一部として提供あなたの暗号化キーを使用して、Amazon S3は、ディスクの管理への書き込み時に暗号化を管理し、あなたがオブジェクトにアクセスすると、復号化。したがって、あなたは、データの暗号化と復号化を実行するために、任意のコードを維持する必要はありません。すべてのあなたは、あなたが提供する暗号化キーを管理する必要があります。
Amazon S3はあなたが提供する暗号化キーを格納していませんが、ランダムなデータを追加するために暗号化キーを保存するHMACの 将来の要求を検証する値を。ランダムデータ値のHMAC値をされて追加するか、オブジェクトの暗号化されたコンテンツの暗号化キーを解読導出します。これは、あなたがあなたの暗号化キーを紛失した場合、オブジェクトが失われました。
重要SSE-Cは、次のとおりです。
-
あなたは、HTTPSを使用する必要があります。
重要
SSE-Cを使用する場合は、Amazon S3は、HTTP経由で提出された要求を拒否します。セキュリティ上の理由から、我々はあなたが間違って漏洩するであろう任意のキーを送信するHTTPを使用して検討することをお勧めします。必要な場合は、キー、キーローテーションを破棄しなければなりません。
-
応答でMD5のETagがオブジェクトデータではありません。
-
オブジェクトをマッピングする暗号化のためのあなたの暗号鍵管理のどちら。Amazon S3は、暗号鍵を格納しません。あなたは、オブジェクトの暗号化キーを提供し、追跡する責任があります。
-
あなたのバケットのバージョン管理が有効になっている場合は、オブジェクトの各バージョンをアップロードするには、この機能を使用し、独自の暗号化キーを有することができます。あなたは、オブジェクトのどのバージョンを追跡するために使用する暗号鍵を担当しています。
-
あなたは、クライアントの暗号化キーを管理しているので、ので、彼らは、そのようなキーローテーションなどのクライアント管理のすべての余分な保護措置を、持っています。
警告
あなたが暗号化キーを紛失した場合は任意の暗号化キーは、要求が失敗し、あなたがオブジェクトを失うことになるGETのために、それはオブジェクトではありません。
-