Praktik terbaik enkripsi untuk Amazon S3 - AWS Panduan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik enkripsi untuk Amazon S3

Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.

Untuk enkripsi sisi server di Amazon S3, ada tiga opsi:

Amazon S3 menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di () dan. AWS Command Line Interface AWS CLI AWS SDKs Untuk informasi selengkapnya, lihat FAQ enkripsi default.

Jika enkripsi sisi server digunakan untuk mengenkripsi objek pada saat upload, tambahkan x-amz-server-side-encryption header ke permintaan untuk memberi tahu Amazon S3 untuk mengenkripsi objek menggunakan SSE-S3, SSE-KMS, atau SSE-C. Berikut ini adalah nilai yang mungkin untuk x-amz-server-side-encryption header:

  • AES256, yang memberitahu Amazon S3 untuk menggunakan kunci terkelola Amazon S3.

  • aws:kms, yang memberitahu Amazon S3 untuk menggunakan kunci AWS KMS terkelola.

  • Menetapkan nilai sebagai True atau False untuk SSE-C

Untuk informasi selengkapnya, lihat Defense-in-depth persyaratan 1: Data harus dienkripsi saat istirahat dan selama transit di Cara Menggunakan Kebijakan Bucket dan Terapkan Defense-in-Depth untuk Membantu Mengamankan Data Amazon S3 AndaAWS (posting blog).

Untuk enkripsi sisi klien di Amazon S3, ada dua opsi:

  • Kunci yang disimpan di AWS KMS

  • Kunci yang disimpan dalam aplikasi

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini: