AWS服务要求KMS解密加密的数据密钥,而KMS使用CMK解密并发送回纯文本数据密钥。在运输过程中如何保护此密钥?
可以说,S3是一项公共服务,它从KMS请求纯文本数据密钥。S3是具有公共端点的公共服务。数据密钥如何受到保护?流量是否流经互联网?
KMS <-> S3加密/解密交互在AWS网络内进行。静态使用各种密钥提供者(客户托管/服务器端)支持的AES-256加密对数据进行加密,并使用TLS v1.2进行传输。无论如何,如果您将对象公开并可由任何人访问,则他们将能够访问它。您必须确保不公开存储桶或对象。
“ S3是具有公共终结点的公共服务。如何保护数据密钥?” 这种“公共服务”仍然利用身份和访问管理来控制对对象的访问,不仅任何人都可以读取存储桶或其中的Blob。
Amit提交中发布的文档链接还将为您解释交互流程,这并不简单:https : //docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句