Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik enkripsi untuk Amazon S3
Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.
Untuk enkripsi sisi server di Amazon S3, ada tiga opsi:
Amazon S3 menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di () dan. AWS Command Line Interface AWS CLI AWS SDKs Untuk informasi selengkapnya, lihat FAQ enkripsi default.
Jika enkripsi sisi server digunakan untuk mengenkripsi objek pada saat upload, tambahkan x-amz-server-side-encryption
header ke permintaan untuk memberi tahu Amazon S3 untuk mengenkripsi objek menggunakan SSE-S3, SSE-KMS, atau SSE-C. Berikut ini adalah nilai yang mungkin untuk x-amz-server-side-encryption
header:
-
AES256
, yang memberitahu Amazon S3 untuk menggunakan kunci terkelola Amazon S3. -
aws:kms
, yang memberitahu Amazon S3 untuk menggunakan kunci AWS KMS terkelola. -
Menetapkan nilai sebagai
True
atauFalse
untuk SSE-C
Untuk informasi selengkapnya, lihat Defense-in-depth persyaratan 1: Data harus dienkripsi saat istirahat dan selama transit di Cara Menggunakan Kebijakan Bucket dan Terapkan Defense-in-Depth untuk Membantu Mengamankan Data Amazon S3 Anda
Untuk enkripsi sisi klien di Amazon S3, ada dua opsi:
-
Kunci yang disimpan di AWS KMS
-
Kunci yang disimpan dalam aplikasi
Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:
-
Di AWS Config, terapkan aturan AWS terkelola bucket-server-side-encryptionberkemampuan s3 untuk memvalidasi dan menerapkan enkripsi bucket S3.
-
Menerapkan kebijakan bucket Amazon S3 yang memvalidasi bahwa semua objek yang diunggah dienkripsi menggunakan kondisi tersebut.
s3:x-amz-server-side-encryption
Untuk informasi selengkapnya, lihat contoh kebijakan bucket di Melindungi data menggunakan SSE-S3 dan petunjuk di Menambahkan kebijakan bucket. -
Izinkan hanya koneksi terenkripsi melalui HTTPS (TLS) dengan menggunakan
aws:SecureTransport
kondisi pada kebijakan bucket S3. Untuk informasi selengkapnya, lihat Kebijakan bucket S3 apa yang harus saya gunakan untuk mematuhi AWS Config aturan s3-? bucket-ssl-requests-only -
Di AWS Config, terapkan aturan bucket-ssl-requests-only AWS terkelola s3 untuk mengharuskan permintaan menggunakan SSL.
-
Gunakan kunci yang dikelola pelanggan saat Anda perlu memberikan akses lintas akun ke objek Amazon S3. Konfigurasikan kebijakan kunci untuk mengizinkan akses dari yang lain Akun AWS.