12、AWS S3 安全与存储服务详解

AWS S3 安全与存储服务详解

1. AWS S3 基础与安全策略

在 AWS Simple Storage Service（S3）中，存储的“对象”存于存储桶内。安全专业人员在 S3 环境中的重要职责是对源自不同微服务的所有对象和存储桶应用最小权限原则（PoLP），即仅允许需要访问这些对象的用户和资源进行访问。

由于 AWS S3 是托管服务，存储在 S3 中的数据可能会与其他云客户共享物理资源。为保护敏感数据，AWS 提供了两种方法，且安全存储系统应同时使用这两种方法：
- AWS IAM 策略 ：包括基于 IAM 主体的策略和基于 AWS S3 资源的存储桶策略，用于控制对资源的访问，确保遵循 PoLP。
- AWS KMS ：可对存储在 AWS S3 存储桶中的对象进行加密，保证只有拥有加密密钥访问权限的主体才能读取这些对象。

加密和访问控制在维护数据安全方面同样重要，应同时采用这两种方法防止数据被未经授权访问。

2. AWS S3 加密方式

AWS S3 提供了四种加密数据对象的方式，用户可根据组织需求选择：
- AWS 服务器端加密（AWS SSE - S3，AWS 管理的密钥） ：这是 AWS S3 中加密数据对象的默认模式。对于只需要基本对象加密且不想控制加密数据项所用客户主密钥（CMK）生命周期的组织，AWS SSE - S3 提供了一种快速简便的加密方式。其优点是使用方便，云用户只需在 AWS 管理控制台的每个存储桶级别启用即可。启用后，AWS 使用数据密钥对存储桶内的所有