So konfigurieren Sie die Standardverschlüsselung auf dem S3 -Eimer

So konfigurieren Sie die Standardverschlüsselung auf dem S3 -Eimer
S3 -Eimer werden verwendet, um Daten in Form von Objekten in AWS zu speichern. Dies handelt. Um die Privatsphäre und Sicherheit der Benutzerdaten zu gewährleisten, bietet AWS der Einrichtung, um die Daten mit verschiedenen Methoden zu verschlüsseln. Auch wenn jemand erfolgreich das Hochsicherungssystem der Amazon-Cloud brechen kann, kann er die tatsächlichen Daten immer noch nicht erhalten. Standardmäßig ist die Verschlüsselung für S3 -Eimer nicht aktiviert, aber ein Benutzer kann sie leicht aktivieren und auch die Verschlüsselungsmethode selbst auswählen. AWS stellt sicher, dass die Verschlüsselung einen minimalen Einfluss auf die Latenz von S3 -Eimer hat.

In der Verschlüsselung werden die Daten unter Verwendung mathematischer Techniken und Algorithmen in eine andere unlesbare Form übersetzt. Die Verschlüsselungsmethode wird in den als Schlüssel bezeichneten Dateien gespeichert, die entweder vom System selbst verwaltet werden können, oder der Benutzer kann sie manuell selbst verwalten. AWS bietet uns vier verschiedene Verschlüsselungsmethoden für unsere S3 -Eimer.

S3 -Verschlüsselungsmethoden

Es gibt zwei Hauptverschlüsselungsmethoden, die wie folgt weiter klassifiziert werden können.

Serverseitige Verschlüsselung

Die serverseitige Verschlüsselung bedeutet, dass der Server selbst den Verschlüsselungsprozess verwaltet und Sie weniger verwalten müssen. Für S3-Eimer benötigen wir drei Arten von serverseitigen Verschlüsselungsmethoden, basierend darauf, wie die Verschlüsselungsschlüssel verwaltet werden. Für die Standardverschlüsselung müssen wir eines dieser Methoden anwenden.

  • Serverseitige Verschlüsselung mit S3-verwalteten Schlüssel (SSE-S3)
    Dies ist die einfachste Art der Verschlüsselung für S3. Hier werden die Schlüssel von S3 verwaltet, und für weitere Sicherheit werden diese Schlüssel selbst in der verschlüsselten Form gehalten.
  • Serverseitige Verschlüsselung mit AWS KMS Managed Keys (SSE-KMS)
    Hier werden die Verschlüsselungsschlüssel vom AWS Key Management Service bereitgestellt und verwaltet. Dies bietet etwas bessere Sicherheit und einige andere Fortschritte gegenüber SSE-S3.
  • Serverseitige Verschlüsselung mit Kunden bereitgestellt Tasten (SSE-C)
    Bei dieser Methode spielt AWS keine Rolle im Schlüsselverwaltung, der Benutzer sendet die Schlüssel für jedes Objekt selbst und S3 vervollständigt nur den Verschlüsselungsprozess. Hier ist der Kunde dafür verantwortlich, seine Verschlüsselungsschlüssel im Auge zu behalten. Darüber hinaus sollten die Daten im Flug auch mit HTTPS gesichert werden, da die Schlüssel mit den Daten gesendet werden.

Clientseitige Verschlüsselung

Wie der Name schon sagt, bedeutet die clientseitige Verschlüsselung, dass der Client das Gesamtverschlüsselungsverfahren lokal durchführt. Der Benutzer lädt verschlüsselte Daten in den S3 -Bucket hoch. Diese Technik wird größtenteils angewendet, wenn Sie einige strenge organisatorische Regeln oder andere gesetzliche Anforderungen haben. Wie hier spielt AWS keine Rolle dabei, etwas zu tun. Sie werden diese Option im Abschnitt "Standardverschlüsselung von S3" nicht sehen, und wir können dies nicht als unsere Standardverschlüsselungsmethode für Amazon S3 -Eimer aktivieren.

Konfigurieren Sie die Standardverschlüsselung auf S3

In diesem Artikel werden wir sehen, wie Sie die Standardverschlüsselung für Ihre S3 -Eimer aktivieren können, und wir werden zwei Möglichkeiten in Betracht ziehen, dies zu tun.

  • Verwendung der AWS -Managementkonsole
  • Verwenden Sie die AWS -Befehlszeilenschnittstelle (CLI)

Aktivieren Sie die S3 -Verschlüsselung mithilfe der Verwaltungskonsole

Zunächst müssen wir uns in Ihrem AWS -Konto entweder über den Stammbenutzer oder einen anderen Benutzer anmelden, der Zugriff und Erlaubnis zum Verwalten der S3 -Eimer hat. Sie sehen eine Suchleiste oben in der Verwaltungskonsole. Geben Sie dort einfach S3 ein und Sie erhalten die Ergebnisse. Klicken Sie auf S3, um Ihre Eimer mit der Konsole zu verwalten.

Klicken Sie auf einen Eimer erstellen, um mit der Erstellung von S3 -Eimer in Ihrem Konto zu beginnen.

Im Abschnitt Eimer -Erstellung müssen Sie einen Eimernamen angeben. Der Bucket -Name muss in der gesamten AWS -Datenbank eindeutig sein. Danach müssen Sie die AWS -Region angeben, in der Ihr S3 -Eimer platziert werden soll.

Scrollen Sie nun zum Standardverschlüsselungsabschnitt, aktivieren Sie die Verschlüsselung und wählen Sie die gewünschte Methode aus. In diesem Beispiel werden wir SSE-S3 wählen.

Klicken Sie in der unteren rechten Ecke auf den Eimer erstellen, um den Erstellungsprozess der Eimer zu beenden. Es gibt auch ein paar andere Einstellungen zu verwalten, aber lassen Sie sie einfach standardmäßig, da wir vorerst nichts damit zu tun haben.

Schließlich lassen wir unseren S3 -Bucket mit der Standardverschlüsselung erstellt.

Laden wir nun eine Datei in unseren Eimer hoch und überprüfen, ob sie verschlüsselt ist oder nicht.

Sobald das Objekt hochgeladen ist, klicken Sie darauf, um die Eigenschaften zu öffnen, und ziehen Sie es auf die Verschlüsselungseinstellungen, wo Sie sehen können, dass die Verschlüsselung für dieses Objekt aktiviert ist.

Schließlich haben wir also gesehen, wie man die S3 -Bucket -Verschlüsselung in unserem AWS -Konto konfiguriert.

Aktivieren Sie die S3 -Verschlüsselung mithilfe der AWS -Befehlszeilenschnittstelle (CLI)

AWS bietet uns auch die Möglichkeit, unsere Dienste und Ressourcen mithilfe der Befehlszeilenschnittstelle zu verwalten. Die meisten Fachleute bevorzugen es, die Befehlszeilenschnittstelle zu verwenden, da die Verwaltungskonsole einige Einschränkungen hat, und die Umgebung ändert sich immer wieder, während die CLI so bleibt, wie sie ist. Sobald Sie einen festen Griff über CLI erhalten haben, finden Sie es im Vergleich zur Managementkonsole Handwerer. Die AWS CLI kann in jeder Umgebung eingerichtet werden, entweder Windows, Linux oder Mac.

Unser erster Schritt ist also, die Eimer in unserem AWS -Konto zu erstellen, für den wir einfach den folgenden Befehl verwenden müssen.

$: AWS S3API CREATE-BUCKET-BUCKET-Region

Wir können auch die verfügbaren S3 -Eimer in Ihrem Konto über den folgenden Befehl anzeigen.

$: AWS S3API LIST-BICKETS

Jetzt wird unser Eimer erstellt, und wir müssen den folgenden Befehl ausführen, um die Standardverschlüsselung darüber zu aktivieren. Dies ermöglicht die serverseitige Verschlüsselung mithilfe von S3 Managed Keys. Der Befehl hat keine Ausgabe.

$: AWS S3API Put-Bucket-Decryption---Bucket-Server-Side-Decryption-Konfiguration '"Regeln": ["ApplyServersidecryptionByDefault": "SSEALGORITHM": "AES256"]'

Wenn wir überprüfen möchten, ob die Standardverschlüsselung für unseren Eimer aktiviert ist, verwenden Sie einfach den folgenden Befehl, und Sie erhalten das Ergebnis in CLI.

$: AWS S3API Get-Bucket-Decryption-Bucket

Dies bedeutet also, dass wir die S3-Verschlüsselung erfolgreich aktiviert haben und diesmal die AWS-Befehlszeilenschnittstelle (CLI) verwendet haben.

Abschluss

Die Datenverschlüsselung ist sehr wichtig, da dies Ihre wichtigen und privaten Daten in der Cloud im Falle eines Verstoßes im System sichern kann. Die Verschlüsselung liefert also eine weitere Sicherheitsebene. In AWS kann die Verschlüsselung von S3 selbst vollständig verwaltet werden oder der Benutzer kann die Verschlüsselungsschlüssel selbst bereitstellen und verwalten. Wenn die Standardverschlüsselung aktiviert ist, müssen Sie die Verschlüsselung nicht jedes Mal manuell aktivieren, wenn Sie das Objekt in S3 hochladen. Stattdessen werden alle Objekte in standardmäßiger Weise verschlüsselt, sofern nicht anders angegeben.