使用第 3 AWS SDK for PHP 版的 Amazon S3 用戶端加密 - AWS SDK for PHP
遷移指南設定加密解密密碼配置元數據策略分段上傳

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用第 3 AWS SDK for PHP 版的 Amazon S3 用戶端加密

使用用戶端加密時,會直接在您的環境中將資料加密和解密。這表示此資料在傳輸到 Amazon S3 之前已加密,而且您不需要依賴外部服務為您處理加密。對於新的S3EncryptionClientV2實現,我們建議使用已棄用的S3EncryptionClientS3EncryptionMultipartUploader. S3EncryptionMultipartUploaderV2 建議仍使用已取代版本的舊版實作嘗試移轉。 S3EncryptionClientV2維護對使用舊S3EncryptionClient版加密的資料進行解密的支援。

AWS SDK for PHP實作信封加密功能,使用 OpenSSL 進行加密和解密。這項實作功能可與符合其功能支援的其他開發套件互通,也相容於軟體開發套件採用 promise 的非同步工作流程

遷移指南

對於那些試圖從已棄用的客戶端遷移到新客戶端的用戶端,可以在此處找到遷移指南。

設定

若要開始使用用戶端加密,您需要下列項目:

執行任何範例程式碼之前,請先設定您的AWS認證。請參閱AWS SDK for PHP版本 3 的認證

加密

在中上傳加密物件S3EncryptionClientV2需要額外三個參數,除了標準PutObject參數之外:

  • '@KmsEncryptionContext'是一個鍵值對,可用於為加密對象添加額外的安全層。加密客戶端必須傳入相同的密鑰,該密鑰將在 get 呼叫時自動執行。如果不需要其他上下文,請傳入一個空數組。

  • @CipherOptions是加密的其他配置,包括要使用的密碼和密鑰大小。

  • @MaterialsProvider是處理生成密鑰和初始化向量以及加密密鑰的提供程序。

use Aws\S3\S3Client;
use Aws\S3\Crypto\S3EncryptionClientV2;
use Aws\Kms\KmsClient;
use Aws\Crypto\KmsMaterialsProviderV2;

 // Let's construct our S3EncryptionClient using an S3Client
 $encryptionClient = new S3EncryptionClientV2(
     new S3Client([
         'profile' => 'default',
         'region' => 'us-east-1',
         'version' => 'latest',
     ])
 );

 $kmsKeyId = 'kms-key-id';
 $materialsProvider = new KmsMaterialsProviderV2(
     new KmsClient([
         'profile' => 'default',
         'region' => 'us-east-1',
         'version' => 'latest',
     ]),
     $kmsKeyId
 );

 $bucket = 'the-bucket-name';
 $key = 'the-file-name';
 $cipherOptions = [
     'Cipher' => 'gcm',
     'KeySize' => 256,
     // Additional configuration options
 ];

 $result = $encryptionClient->putObject([
     '@MaterialsProvider' => $materialsProvider,
     '@CipherOptions' => $cipherOptions,
     '@KmsEncryptionContext' => ['context-key' => 'context-value'],
     'Bucket' => $bucket,
     'Key' => $key,
     'Body' => fopen('file-to-encrypt.txt', 'r'),
 ]);
注意

除了 Amazon S3 和AWS KMS基於服務錯誤之外,如果設定不正確,您'@CipherOptions'可能會收到拋出的InvalidArgumentException物件。

解密

下載和解密一個對象有四個額外的參數,其中兩個是必需的,在標準GetObject參數之上。客戶端將為您檢測基本的密碼選項。

  • '@SecurityProfile':如果設定為 'V2',則只有在 V2 相容中加密的物件

    格式可以解密。將此參數設定為「V2_AND_REGISION」也可以解密以 V1 相容格式加密的物件。要支持遷移,請將 @ 設置SecurityProfile為「V2_ 和 _ 舊版」。僅將「V2」用於新的應用程序開發。

  • '@MaterialsProvider'是處理生成密鑰和初始化向量的提供程序,如

    以及加密您的密碼密鑰。

  • '@KmsAllowDecryptWithAnyCmk':( 可選)將此參數設置為 true 啟用解密

    不向的建構函式提供 KMS 金鑰識別碼 MaterialsProvider。預設值為 false。

  • '@CipherOptions'(可選)是加密的其他配置,包括

    要使用的密碼和密鑰大小。

$result = $encryptionClient->getObject([
    '@KmsAllowDecryptWithAnyCmk' => true,
    '@SecurityProfile' => 'V2_AND_LEGACY',
    '@MaterialsProvider' => $materialsProvider,
    '@CipherOptions' => $cipherOptions,
    'Bucket' => $bucket,
    'Key' => $key,
]);
注意

除了 Amazon S3 和AWS KMS基於服務錯誤之外,如果設定不正確,您'@CipherOptions'可能會收到拋出的InvalidArgumentException物件。

密碼配置

'Cipher' (string)

加密用戶端在加密時所使用的加密方法。目前僅支援「gcm」。

重要

PHP 的 7.1 版已更新,納入了額外的必要參數,以使用 OpenSSL 進行 GCM 加密的加密解密動作。對於 PHP 7.0 及更早版本,加密用戶端S3EncryptionClientV2和. S3EncryptionMultipartUploaderV2 但是,使用 polyfill 的大型輸入的性能會比使用 PHP 7.1+ 的本機實現慢得多,因此升級舊版本的 PHP 環境可能需要有效使用它們。

'KeySize' (int)

進行加密所需產生的內容加密金鑰的長度。預設值為 256 位元。有效的組態選項為 256 位元和 128 位元。

'Aad' (string)

要選用地包含在您加密承載中的「其他身分驗證資料」。解密時會驗證這項資訊。Aad 僅在使用「gcm」加密法時才能使用。

重要

並非所有 AWS SDK 都支援其他驗證資料,因此其他 SDK 可能無法解密使用此參數加密的檔案。

元數據策略

您也可以選擇針對實作 Aws\Crypto\MetadataStrategyInterface 的類別,來提供其執行個體。這個簡單的界面可儲存和載入 Aws\Crypto\MetadataEnvelope,其中包含您的信封加密資料。開發套件提供了實作此項目的兩個類別:Aws\S3\Crypto\HeadersMetadataStrategyAws\S3\Crypto\InstructionFileMetadataStrategy。預設會使用 HeadersMetadataStrategy

$strategy = new InstructionFileMetadataStrategy(
    $s3Client
);

$encryptionClient->putObject([
    '@MaterialsProvider' => $materialsProvider,
    '@MetadataStrategy' => $strategy,
    '@KmsEncryptionContext' => [],
    '@CipherOptions' => $cipherOptions,
    'Bucket' => $bucket,
    'Key' => $key,
    'Body' => fopen('file-to-encrypt.txt', 'r'),
]);

$result = $encryptionClient->getObject([
    '@KmsAllowDecryptWithAnyCmk' => false,
    '@MaterialsProvider' => $materialsProvider,
    '@SecurityProfile' => 'V2',
    '@MetadataStrategy' => $strategy,
    '@CipherOptions' => $cipherOptions,
    'Bucket' => $bucket,
    'Key' => $key,
]);

您也可透過呼叫 HeadersMetadataStrategy::classInstructionFileMetadataStrategy,來提供 的類別名稱常數。

$result = $encryptionClient->putObject([
    '@MaterialsProvider' => $materialsProvider,
    '@MetadataStrategy' => HeadersMetadataStrategy::class,
    '@CipherOptions' => $cipherOptions,
    'Bucket' => $bucket,
    'Key' => $key,
    'Body' => fopen('file-to-encrypt.txt', 'r'),
]);
注意

如果在上傳指令檔案後發生故障,不會自動刪除該檔案。

分段上傳

您也可以使用用戶端加密來進行分段上傳。會在上傳之前Aws\S3\Crypto\S3EncryptionMultipartUploaderV2準備來源串流以進行加密。建立的方法類似於使用 Aws\S3\MultipartUploaderAws\S3\Crypto\S3EncryptionClientV2 時的經驗。S3EncryptionMultipartUploaderV2 可以處理與 '@MetadataStrategy' 相同的 S3EncryptionClientV2 選項,以及所有可用的 '@CipherOptions' 組態。

$kmsKeyId = 'kms-key-id';
$materialsProvider = new KmsMaterialsProviderV2(
    new KmsClient([
        'region' => 'us-east-1',
        'version' => 'latest',
        'profile' => 'default',
    ]),
    $kmsKeyId
);

$bucket = 'the-bucket-name';
$key = 'the-upload-key';
$cipherOptions = [
    'Cipher' => 'gcm'
    'KeySize' => 256,
    // Additional configuration options
];

$multipartUploader = new S3EncryptionMultipartUploaderV2(
    new S3Client([
        'region' => 'us-east-1',
        'version' => 'latest',
        'profile' => 'default',
    ]),
    fopen('large-file-to-encrypt.txt', 'r'),
    [
        '@MaterialsProvider' => $materialsProvider,
        '@CipherOptions' => $cipherOptions,
        'bucket' => $bucket,
        'key' => $key,
    ]
);
$multipartUploader->upload();
注意

除了 Amazon S3 和AWS KMS基於服務錯誤之外,如果設定不正確,您'@CipherOptions'可能會收到拋出的InvalidArgumentException物件。