【问题标题】:Does enabling default encryption on the existing s3 buckets requires any IAM change for the buckets users?在现有 s3 存储桶上启用默认加密是否需要对存储桶用户进行任何 IAM 更改?
【发布时间】:2021-03-22 23:48:10
【问题描述】:
我想为现有存储桶启用默认加密(Amazon S3 托管的加密密钥 (SSE-S3))。未来的对象将被加密,但要加密现有对象,我需要复制它们或重新上传它们。
我想知道,由于我使用 SSE-S3 对存储桶进行默认加密,我是否需要进行任何 IAM 更改以允许存储桶用户访问现有对象和未来对象?或者在存储桶上启用默认加密 (SSE-S3) 不需要任何 IAM 更改,因为在存储静态数据之前应用了加密?
感谢您的帮助。
【问题讨论】:
标签:
amazon-web-services
amazon-s3
encryption
【解决方案1】:
如果您使用SSE-S3(Amazon S3 托管的加密密钥),那么您无需执行任何操作。您可以通过存储桶策略强制执行此加密,因为默认的 SSE-S3 存储桶加密可以由您的用户基于每个对象覆盖。
但是,如果您选择 SSE-KMS 作为您自己的 CMK(不是 AWS 的默认值)的默认值,那么您的用户/inctances/lambdas 也需要具有访问 CMK 的权限。