AWS现在更改Amazon S3对象加密行为,现在S3默认加密所有新的对象,当用户没有特别指定加密方法,自动对每一个新对象激活服务器端加密(SSE-S3)。目前这项更改已经在所有AWS地区生效,包括AWS GovCloud和AWS中国地区,用户不需要对默认对象加密支付额外费用。
S3服务器端加密会以完全透明的方式,处理新对象的加密、解密和密钥管理,当用户使用PUT方法上传对象时,S3服务器会生成唯一密钥,以密钥加密资料,并使用根密钥来加密该密钥。
官方提到,这项更改是以自动化执行最佳安全实践,不会对性能产生影响,用户也不需要采取额外的措施,未使用默认加密的S3存储桶,现在会自动应用SSE-S3加密,而原本就默认使用SSE-S3加密的存储桶则不会有任何变化。
用户还是可以根据需求,从S3默认加密(SSE-S3)、客户提供加密密钥(SSE-C)与AWS密钥管理服务密钥(SSE-KMS)三种加密设置选择需要的方法,同时也能使用客户端函数库,在客户端加密对象,以获得额外的加密保护。
SSE-S3使用由AWS所管理的256位元密钥进行AES加密,AWS提到,虽然原本选择性激活SSE-S3加密方法也很简单,但是选择性的意思,代表着用户需要配置每一个存储桶,并且确保这些设置不会因为时间变更,对要求所有对象都使用SSE-S3加密的用户,这项默认加密更新不需要变更任何工具和客户端配置,就能符合加密法遵要求。
S3用户已经可以从CloudTrail资料事件日志中,看到此项变更带来的变化,在接下来数周内,用户还可以从AWS管理控制台、S3 Inventory、S3 Storage Lens,还有AWS CLI和AWS SDK的附加标头看到变更。用户可以配置CloudTrail记录资料事件,来验证存储桶默认加密,不过CloudTrail默认不记录资料事件,激活该功能需要支付额外费用。