View a markdown version of this page

Mengurangi biaya SSE-KMS dengan Amazon S3 Bucket Keys - Amazon Simple Storage Service
Kunci Bucket S3 untuk SSE-KMSMengonfigurasi Kunci Bucket S3Perubahan yang perlu diperhatikan sebelum mengaktifkan Kunci Bucket S3Menggunakan kunci Bucket S3 dengan replikasiBekerja dengan Kunci Bucket S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengurangi biaya SSE-KMS dengan Amazon S3 Bucket Keys

Amazon S3 Bucket Keys mengurangi biaya enkripsi AWS Key Management Service sisi server Amazon S3 dengan () keys ().AWS KMS SSE-KMS Menggunakan kunci tingkat ember untuk SSE-KMS dapat mengurangi biaya AWS KMS permintaan hingga 99 persen dengan mengurangi lalu lintas permintaan dari Amazon S3 ke. AWS KMS Dengan beberapa klik di Konsol Manajemen AWS, dan tanpa perubahan apa pun pada aplikasi klien, Anda dapat mengonfigurasi bucket Anda untuk menggunakan Kunci Bucket S3 untuk SSE-KMS enkripsi pada objek baru.

catatan

Kunci Bucket S3 tidak didukung untuk enkripsi sisi server dua lapis dengan AWS Key Management Service () keys ().AWS KMS DSSE-KMS

Kunci Bucket S3 untuk SSE-KMS

Beban kerja yang mengakses jutaan atau miliaran objek yang dienkripsi SSE-KMS dapat menghasilkan volume permintaan yang besar. AWS KMS Saat Anda menggunakan SSE-KMS untuk melindungi data tanpa Kunci Bucket S3, Amazon S3 menggunakan kunci data AWS KMS individual untuk setiap objek. Dalam hal ini, Amazon S3 melakukan panggilan ke AWS KMS setiap kali permintaan dibuat terhadap objek. KMS-encrypted Untuk informasi tentang cara SSE-KMS kerja, lihatMenggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS).

Saat Anda mengonfigurasi bucket untuk menggunakan Kunci Bucket S3 SSE-KMS, buat kunci AWS tingkat ember berumur pendek dari AWS KMS, lalu simpan sementara di S3. Kunci tingkat bucket ini akan membuat kunci data untuk objek baru selama siklus hidupnya. Kunci Bucket S3 digunakan untuk jangka waktu terbatas dalam Amazon S3, mengurangi kebutuhan S3 untuk membuat permintaan AWS KMS untuk menyelesaikan operasi enkripsi. Ini mengurangi lalu lintas dari S3 menjadi AWS KMS, memungkinkan Anda mengakses objek yang AWS KMS dienkripsi di Amazon S3 dengan biaya yang lebih murah dari biaya sebelumnya.

Kunci tingkat ember unik diambil setidaknya sekali per pemohon untuk memastikan bahwa akses pemohon ke kunci ditangkap dalam suatu peristiwa. AWS KMS CloudTrail Amazon S3 memperlakukan penelepon sebagai pemohon yang berbeda ketika mereka menggunakan peran atau akun yang berbeda, atau peran yang sama dengan kebijakan pelingkupan yang berbeda. AWS KMS penghematan permintaan mencerminkan jumlah pemohon, pola permintaan, dan usia relatif dari objek yang diminta. Misalnya, jumlah pemohon yang lebih sedikit, meminta beberapa objek dalam jendela waktu terbatas, dan dienkripsi dengan kunci tingkat ember yang sama, menghasilkan penghematan yang lebih besar.

catatan

Menggunakan S3 Bucket Keys memungkinkan Anda menghemat biaya AWS KMS permintaan dengan mengurangi permintaan Anda AWS KMS untukEncrypt,GenerateDataKey, dan Decrypt operasi melalui penggunaan kunci tingkat ember. Secara desain, permintaan berikutnya yang memanfaatkan kunci tingkat ember ini tidak menghasilkan permintaan AWS KMS API atau memvalidasi akses terhadap kebijakan kunci. AWS KMS

Bila Anda mengonfigurasi Kunci Bucket S3, objek yang sudah ada di bucket tidak menggunakan kunci Bucket S3. Untuk mengonfigurasi Kunci Bucket S3 untuk objek yang sudah ada, Anda dapat menggunakan operasi CopyObject. Untuk informasi selengkapnya, lihat Mengonfigurasi Kunci Bucket S3 pada tingkat objek.

Amazon S3 hanya akan berbagi Kunci Bucket S3 untuk objek dienkripsi oleh AWS KMS key yang sama. Kunci Bucket S3 kompatibel dengan kunci KMS yang dibuat oleh AWS KMS, bahan kunci impor, dan bahan kunci yang didukung oleh toko kunci khusus.

Diagram yang menunjukkan AWS KMS menghasilkan kunci bucket yang membuat kunci data untuk objek dalam ember.

Mengonfigurasi Kunci Bucket S3

Anda dapat mengonfigurasi bucket untuk menggunakan Kunci Bucket S3 untuk SSE-KMS objek baru melalui konsol Amazon S3 AWS , SDK AWS CLI, atau REST API. Dengan S3 Bucket Keys diaktifkan di bucket Anda, objek yang diunggah dengan SSE-KMS kunci tertentu yang berbeda akan menggunakan Kunci Bucket S3 miliknya sendiri. Terlepas dari pengaturan Kunci Bucket S3 Anda, Anda dapat menyertakan header x-amz-server-side-encryption-bucket-key-enabled dengan nilai true atau false atau dalam permintaan Anda, untuk mengganti pengaturan bucket.

Sebelum mengonfigurasi bucket untuk menggunakan Kunci Bucket S3, tinjau Perubahan yang perlu diperhatikan sebelum mengaktifkan Kunci Bucket S3.

Mengonfigurasi Kunci Bucket S3 menggunakan konsol Amazon S3

Saat membuat bucket baru, Anda dapat mengonfigurasi bucket untuk menggunakan Kunci Bucket S3 untuk SSE-KMS objek baru. Anda juga dapat mengonfigurasi bucket yang ada untuk menggunakan Kunci Bucket S3 untuk SSE-KMS objek baru dengan memperbarui properti bucket Anda. 

Untuk informasi selengkapnya, lihat Mengonfigurasi bucket Anda untuk menggunakan Kunci Bucket S3 dengan objek SSE-KMS baru.

API ISTIRAHAT, AWS CLI, dan AWS Dukungan SDK untuk S3 Bucket Keys

Anda dapat menggunakan REST API, AWS CLI, atau AWS SDK untuk mengonfigurasi bucket agar menggunakan Kunci Bucket S3 untuk objek SSE-KMS baru. Anda juga dapat mengaktifkan Kunci Bucket S3 pada tingkat objek.

Untuk informasi selengkapnya, lihat berikut ini: 

Operasi API berikut mendukung S3 Bucket Keys untuk SSE-KMS:

Bekerja dengan CloudFormation

Di CloudFormation, AWS::S3::Bucket sumber daya menyertakan properti enkripsi yang disebut BucketKeyEnabled yang dapat Anda gunakan untuk mengaktifkan atau menonaktifkan Kunci Bucket S3.

Untuk informasi selengkapnya, lihat Penggunaan CloudFormation.

Perubahan yang perlu diperhatikan sebelum mengaktifkan Kunci Bucket S3

Sebelum mengaktifkan Kunci Bucket S3, perhatikan perubahan terkait berikut ini:

IAM atau AWS KMS kebijakan utama

Jika kebijakan atau kebijakan AWS KMS utama AWS Identity and Access Management (IAM) yang ada menggunakan objek Amazon Resource Name (ARN) sebagai konteks enkripsi untuk mempersempit atau membatasi akses ke kunci KMS, kebijakan ini tidak akan berfungsi dengan Kunci Bucket S3. Kunci Bucket S3 menggunakan bucket ARN sebagai konteks enkripsi. Sebelum mengaktifkan Kunci Bucket S3, perbarui kebijakan IAM atau kebijakan AWS KMS utama untuk menggunakan ARN bucket sebagai konteks enkripsi.

Untuk informasi selengkapnya tentang konteks enkripsi dan Kunci Bucket S3, lihat Konteks enkripsi.

CloudTrail acara untuk AWS KMS

Setelah Anda mengaktifkan Kunci Bucket S3, AWS KMS CloudTrail peristiwa Anda mencatat ARN bucket Anda alih-alih ARN objek Anda. Selain itu, Anda melihat lebih sedikit CloudTrail peristiwa KMS untuk SSE-KMS objek di log Anda. Karena materi utama dibatasi waktu di Amazon S3, lebih sedikit permintaan yang dibuat. AWS KMS

Menggunakan kunci Bucket S3 dengan replikasi

Anda dapat menggunakan Kunci Bucket S3 dengan Same-Region Replikasi (SRR) dan Cross-Region Replikasi (CRR).

Ketika Amazon S3 mereplikasi objek terenkripsi, umumnya mempertahankan pengaturan enkripsi objek replika di bucket tujuan. Namun, jika objek sumber tidak dienkripsi dan bucket tujuan Anda menggunakan enkripsi default atau Kunci Bucket S3, Amazon S3 mengenkripsi objek dengan konfigurasi bucket tujuan.

Contoh berikut menggambarkan bagaimana Kunci Bucket S3 bekerja dengan replikasi. Untuk informasi selengkapnya, lihat Mereplikasi objek terenkripsi (SSE-S3,,, SSE-KMS) DSSE-KMS SSE-C

contoh Contoh 1–Sumber objek menggunakan Kunci Bucket S3, bucket tujuan menggunakan enkripsi default

Jika objek sumber Anda menggunakan Kunci Bucket S3 tetapi bucket tujuan Anda menggunakan enkripsi default SSE-KMS, objek replika mempertahankan setelan enkripsi S3 Bucket Key di bucket tujuan. Bucket tujuan masih menggunakan enkripsi default dengan SSE-KMS.

contoh Contoh 2 - Objek sumber tidak dienkripsi; bucket tujuan menggunakan Kunci Bucket S3 dengan SSE-KMS

Jika objek sumber Anda tidak dienkripsi dan bucket tujuan menggunakan Kunci Bucket S3 SSE-KMS, objek replika akan dienkripsi dengan menggunakan Kunci Bucket S3 yang ada di bucket tujuan. SSE-KMS Ini menghasilkan objek sumber ETag yang berbeda dari objek replika ETag. Anda harus memperbarui aplikasi yang menggunakan ETag untuk mengakomodasi perbedaan ini.

Bekerja dengan Kunci Bucket S3

Untuk informasi lebih lanjut tentang mengaktifkan dan bekerja dengan Kunci Bucket S3, lihat bagian berikut: