Menggunakan enkripsi sisi server dual-layer dengan kunci (DSSE-KMS) AWS KMS - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan enkripsi sisi server dual-layer dengan kunci (DSSE-KMS) AWS KMS

Menggunakan enkripsi sisi server dua lapis dengan kunci AWS Key Management Service (AWS KMS) (DSSE-KMS) menerapkan dua lapisan enkripsi ke objek saat diunggah ke Amazon S3. DSSE-KMS membantu Anda agar lebih mudah memenuhi standar kepatuhan yang mengharuskan Anda untuk menerapkan enkripsi multilayer ke data Anda dan memiliki kontrol penuh atas kunci enkripsi Anda.

“Ganda” di DSSE-KMS mengacu pada dua lapisan independen enkripsi AES-256 yang diterapkan pada data Anda:

  • Lapisan pertama: Data Anda dienkripsi menggunakan kunci enkripsi data unik (DEK) yang dihasilkan oleh AWS KMS

  • Lapisan kedua: Data yang sudah dienkripsi dienkripsi lagi menggunakan kunci enkripsi AES-256 terpisah yang dikelola oleh Amazon S3

Ini berbeda dari SSE-KMS standar, yang hanya berlaku satu lapisan enkripsi. Pendekatan dual-layer memberikan keamanan yang ditingkatkan dengan memastikan bahwa bahkan jika satu lapisan enkripsi dikompromikan, data Anda akan tetap dilindungi oleh lapisan kedua. Keamanan tambahan ini dilengkapi dengan peningkatan overhead pemrosesan dan panggilan AWS KMS API, yang menyumbang biaya lebih tinggi dibandingkan dengan SSE-KMS standar. Untuk informasi selengkapnya tentang harga DSSE-KMS, lihat AWS KMS key konsep di Panduan AWS Key Management Service Pengembang dan harga.AWS KMS

Saat Anda menggunakan DSSE-KMS dengan bucket Amazon S3, AWS KMS kunci harus berada di Wilayah yang sama dengan bucket. Selain itu, ketika DSSE-KMS diminta untuk objek tersebut, checksum S3 yang merupakan bagian dari metadata objek disimpan dalam bentuk terenkripsi. Untuk informasi selengkapnya tentang checksum, lihat Memeriksa integritas objek di Amazon S3.

catatan

Kunci Bucket S3 tidak didukung untuk DSSE-KMS.

Perbedaan utama antara DSSE-KMS dan SSE-KMS standar adalah:

  • Lapisan enkripsi: DSSE-KMS menerapkan dua lapisan independen enkripsi AES-256, sedangkan standar SSE-KMS menerapkan satu lapisan

  • Keamanan: DSSE-KMS memberikan perlindungan yang ditingkatkan terhadap potensi kerentanan enkripsi

  • Kepatuhan: DSSE-KMS membantu memenuhi persyaratan peraturan yang mengamanatkan enkripsi multilayer

  • Kinerja: DSSE-KMS memiliki latensi yang sedikit lebih tinggi karena pemrosesan enkripsi tambahan

  • Biaya: DSSE-KMS menimbulkan biaya yang lebih tinggi karena peningkatan overhead komputasi dan operasi tambahan AWS KMS

Memerlukan enkripsi sisi server dua lapis dengan (DSSE-KMS) AWS KMS keys

Untuk mewajibkan enkripsi di sisi server terhadap semua objek dalam bucket Amazon S3 tertentu, Anda dapat menggunakan kebijakan bucket. Misalnya, kebijakan bucket berikut menolak izin objek unggah (s3:PutObject) untuk semua orang jika permintaan tidak menyertakan header x-amz-server-side-encryption yang meminta enkripsi di sisi server dengan SSE-KMS.

JSON
{
             "Version":"2012-10-17",		 	 	 
             "Id": "PutObjectPolicy",
             "Statement": [{
                   "Sid": "DenyUnEncryptedObjectUploads",
                   "Effect": "Deny",
                   "Principal": {
                       "AWS": "arn:aws:iam::111122223333:root"
                   },
                   "Action": "s3:PutObject",
                   "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition": {
                      "StringNotEquals": {
                         "s3:x-amz-server-side-encryption": "aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Topik