我不确定 Logstash 的 S3 输出插件的使用情况。
例如,我正在使用它,一切似乎都运行良好,但我不想使用aws:kms
加密,而是想指定我的密钥。
根据文档,你需要使用server_side_encryption => true
并且server_side_encryption_algorithm
可以是 AES256 或 aws:kms。
就我而言,我想要 AES256,因为我不希望亚马逊控制我的密钥,但我该如何指定我的密钥?即使我使用,ssekms_key_id => "my_key"
我仍然可以从 AWS 获取未加密的文件。当我下载它时,所有字段都是可读的。
那一定不能发生。
我相信您误解了 S3 插件的工作原理。
server_side_encryption => true
server_side_encryption-algorithm => AWS256
这个组合告诉插件使用server side encryption
S3 附带的默认选项。根据 Amazon 文档,加密和解密会自动发生。如果您有权查看该文件,则可以对其进行解密。
server_side_encryption => true
server_side_encryption-algorithm => aws:kms
ssekms_key_id => 'string'
此组合的功能与AES256
变体相同,但是使用的是Amazon KMS存档中的密钥。与之前的配置一样,加密/解密在 PUT 和 GET 上自动发生。它以加密方式存储在亚马逊服务器上,但从不以加密方式交付。
据我所知,Amazon API不支持上载私钥以在每次PUT调用时对您的数据进行加密。要使用您自己的密钥,您需要将其导入 KMS,并在您的插件配置中使用上传密钥的 KMS KEY ID。不过,它仍然会以明文形式获取。KMS 用于管理密钥,并被亚马逊记录为零知识。
如果您想取回加密文本,您上传到存储桶的数据需要在上传之前进行加密。这个插件不会帮你。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句