安全 - Amazon EKS
安全與合規

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全

安全與合規

考慮使用 KMS 的 S3 進行加密合規儲存

除非您另有指定,否則所有 S3 儲存貯體預設都會使用 SSE-S3 來加密靜態物件。不過,您可以選擇設定儲存貯體,改為使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)。AWS KMS 中的安全控制可以協助您符合加密相關合規要求。您可以使用這些 KMS 金鑰來保護 Amazon S3 儲存貯體中的資料。當您搭配 S3 儲存貯體使用 SSE-KMS 加密時,AWS KMS 金鑰必須與儲存貯體位於相同的區域。

一般用途儲存貯體設定為使用 S3-KMS 的 S3 儲存貯體金鑰,透過減少從 Amazon S3 到 AWS KMS 的請求流量,將 AWS KMS 請求成本降低高達 99%。目錄儲存貯體中的 GETPUT操作一律會啟用 S3 儲存貯體金鑰,且無法停用。

請注意,Amazon S3 Express One Zone 使用稱為 S3 目錄儲存貯體的特定儲存貯體類型。目錄儲存貯體僅適用於 S3 Express One Zone 儲存類別,並啟用高效能、低延遲的存取。若要在 S3 目錄儲存貯體上設定預設儲存貯體加密,請使用 AWS CLI,並指定 KMS 金鑰 ID 或 ARN,而非別名,如下列範例所示:

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

確保您的 EKS Pod 的 IAM 角色具有存取加密物件的 KMS 許可 (例如 kms:Decrypt)。在預備環境中進行測試,方法是將範例模型上傳到儲存貯體、將其掛載到 Pod 中 (例如,透過掛載點 S3 CSI 驅動程式),並確認 Pod 可以讀取加密的資料而不會發生錯誤。透過 AWS CloudTrail 稽核日誌,以確認是否符合加密要求。如需設定詳細資訊和金鑰管理,請參閱 KMS 文件