在单个存储桶中使用客户提供的密钥进行服务器端加密

【问题标题】:Server side encryption with customer provided key in a single bucket在单个存储桶中使用客户提供的密钥进行服务器端加密
【发布时间】:2021-01-31 02:55:04
【问题描述】:

我们有一个多租户应用程序,我们将租户数据分隔在同一个存储桶中的不同文件夹中。主要是因为桶限制 https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

现在我们希望使用客户提供的密钥支持服务器端加密,其中每个租户都提供各自的密钥。

我的问题是 S3 是否支持客户为同一存储桶中的不同文件夹提供密钥。

根据文档https://docs.aws.amazon.com/AmazonS3/latest/dev/sse-c-using-java-sdk.html,我认为实现这一点没有任何问题。

最好的问候,

苏拉夫

【问题讨论】:

    标签: amazon-web-services amazon-s3


    【解决方案1】:

    这是绝对支持的,加密发生在对象级别,您可以在PutObject 请求中指定每个对象应该如何加密。

    为此,您可以使用以下两个标题:

    • x-amz-server-side-encryption 将此设置为aws:kms
    • x-amz-server-side-encryption-aws-kms-key-id 将此设置为客户特定密钥的密钥 ID。

    请记住,执行 PutObject 的主体需要知道密钥 ID 并对其拥有 kms:encrypt 权限。根据您拥有的客户数量,这可能是也可能不是可扩展的解决方案。

    参考

    【讨论】:

      猜你喜欢
      • 2016-05-27
      • 1970-01-01
      • 2017-02-03
      • 2020-01-19
      • 1970-01-01
      • 2016-10-16
      • 2022-01-25
      • 2020-12-04
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode