Amazon S3使用客户端主密 - AWS SDK for Java

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3使用客户端主密

以下示例使用Amazons3 加密客户端 v2Builder要创建类Amazon S3启用客户端加密的客户端。启用后,您使用此客户端上传到 Amazon S3 的任何对象都将加密。您使用此客户端从 Amazon S3 获取的任何对象都将自动解密。

注意

以下示例演示如何配合使用 Amazon S3 客户端加密和客户托管的客户端主密钥。要了解如何将加密与结合使用AWSKMS 托管密钥,请参阅Amazon S3使用客户端加密AWSKMS 托管密钥.

启用客户端时,您可以从两种加密模式中进行选择Amazon S3加密:严格验证或身份验证。以下部分说明了如何启用每种类型。要了解每种模式使用哪种算法,请参阅 CryptoMode 定义。

必需的导入

为这些示例导入以下类。

导入

import com.amazonaws.ClientConfiguration; import com.amazonaws.regions.Regions; import com.amazonaws.services.s3.AmazonS3EncryptionClientV2Builder; import com.amazonaws.services.s3.AmazonS3EncryptionV2; import com.amazonaws.services.s3.model.CryptoConfigurationV2; import com.amazonaws.services.s3.model.CryptoMode; import com.amazonaws.services.s3.model.EncryptionMaterials; import com.amazonaws.services.s3.model.StaticEncryptionMaterialsProvider;

经严格身份验证

如果没有,则严格经身份验证加密是默认CryptoMode已指定。

要明确启用此模式,请指定StrictAuthenticatedEncryption中的值withCryptoConfiguration方法。

注意

要使用客户端经身份验证加密,您必须将最新的 Bouncy Castle jar 文件加入应用程序的类路径中。

代码

AmazonS3EncryptionV2 s3Encryption = AmazonS3EncryptionClientV2Builder.standard() .withRegion(Regions.US_WEST_2) .withCryptoConfiguration(new CryptoConfigurationV2().withCryptoMode((CryptoMode.StrictAuthenticatedEncryption))) .withEncryptionMaterialsProvider(new StaticEncryptionMaterialsProvider(new EncryptionMaterials(secretKey))) .build(); s3Encryption.putObject(bucket_name, ENCRYPTED_KEY2, "This is the 2nd content to encrypt");

经身份验证加密

使用 AuthenticatedEncryption 模式时,在加密期间会应用改进的密钥包装算法。在此模式下解密时,该算法会验证已解密对象的完整性,如果检查失败,则引发异常。有关经身份验证加密模式的更多详细信息,请参阅Amazon S3客户端身份验证加密博客帖子。

注意

要使用客户端经身份验证加密,您必须将最新的 Bouncy Castle jar 文件加入应用程序的类路径中。

要启用此模式,请在 withCryptoConfiguration 方法中指定 AuthenticatedEncryption 值。

代码

AmazonS3EncryptionV2 s3EncryptionClientV2 = AmazonS3EncryptionClientV2Builder.standard() .withRegion(Regions.DEFAULT_REGION) .withClientConfiguration(new ClientConfiguration()) .withCryptoConfiguration(new CryptoConfigurationV2().withCryptoMode(CryptoMode.AuthenticatedEncryption)) .withEncryptionMaterialsProvider(new StaticEncryptionMaterialsProvider(new EncryptionMaterials(secretKey))) .build(); s3EncryptionClientV2.putObject(bucket_name, ENCRYPTED_KEY1, "This is the 1st content to encrypt");