Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan
Keamanan dan Kepatuhan
Pertimbangkan S3 dengan KMS untuk penyimpanan yang sesuai dengan enkripsi
Kecuali Anda menentukan sebaliknya, semua bucket S3 menggunakan SSE-S3 secara default untuk mengenkripsi objek saat istirahat. Namun, Anda dapat memilih untuk mengonfigurasi bucket untuk menggunakan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS). Kontrol keamanan di AWS KMS dapat membantu Anda memenuhi persyaratan kepatuhan terkait enkripsi. Anda dapat menggunakan kunci KMS ini untuk melindungi data Anda di bucket Amazon S3. Saat Anda menggunakan enkripsi SSE-KMS dengan bucket S3, kunci AWS KMS harus berada di Wilayah yang sama dengan bucket.
Konfigurasikan bucket tujuan umum Anda untuk menggunakan Kunci Bucket S3 untuk SSE-KMS, untuk mengurangi biaya permintaan AWS KMS hingga 99 persen dengan mengurangi lalu lintas permintaan dari Amazon S3 ke AWS KMS. Kunci Bucket S3 selalu diaktifkan untuk GET dan PUT beroperasi di bucket direktori dan tidak dapat dinonaktifkan.
Perhatikan bahwa Amazon S3 Express One Zone
aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \ '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'
Pastikan peran IAM pod EKS Anda memiliki izin KMS (misalnya,kms:Decrypt) untuk mengakses objek terenkripsi. Uji ini di lingkungan pementasan dengan mengunggah model sampel ke bucket, memasangnya di pod (misalnya, melalui driver Mountpoint S3 CSI), dan memverifikasi pod dapat membaca data terenkripsi tanpa kesalahan. Audit log melalui AWS CloudTrail untuk mengonfirmasi kepatuhan terhadap persyaratan enkripsi. Lihat Dokumentasi KMS untuk detail penyiapan dan manajemen kunci.
