【橘子场景问题】你的S3文件存储需要加密吗

已于 2025-03-07 11:49:28 修改
阅读量867 收藏 6
点赞数 5
分类专栏: 业务场景 文章标签: java
于 2024-04-16 10:32:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liuwenqiang1314/article/details/137813177
版权

最近遇到一个需求,需要给我们的minio集群上传的文件进行加密,领导给了我一周调研+开发,哥一想这也要五天?看来又能有三天时间摸鱼了,于是上去就是一顿百度,找到了一篇文章,上去就是一顿"借鉴"。

一、单文件上传加密

文章来源在这里https://blog.youkuaiyun.com/wangxudongx/article/details/130451389
于是我用了三分钟改完了,测试没问题。于是就开始刷起了贴吧。
然后麻烦来了,和我对接的小伙伴说,我们这个是大文件上传,前端是切片上传的。于是我麻了,我总不能每个切片都去对流文件加密,然后最后合并流文件吧,这特么出来的是个啥啊。
而且目前我们的实现是前端直接上传server服务,最后调用s3的merge api对已经罗盘的数据进行合并。也就是说不经过我的后端代码,我都没法加密。总不能我再拉下来再内存里面做加密吗,这不仅危险而且low。
但是我们想一想,数据加密,这是个非常普遍的需求,官方肯定支持的。于是啥也不说了,开始调研。

二、KMS加密

我废话不多说,原理和要求都在文档。
S3服务KMS加密数据安全
简单来说就是我们只要配置了这个加密方式和策略,在你上传上去之后,他就能对你的数据自动加密,当然你也可以在客户端不指定加密。不需要我们去对数据做处理。
至于分片合并,他本身就支持,所以这个是很完美的解决方案。
于是就开始了处理。

1、安装valut服务

这个服务就是支持KMS的,也就是你的数据最后会被他处理。安装 vault服务的时候会生成token和key,处理加密解密工作。操作文档如下:
vault官方文档

1、sudo yum install -y yum-utils

2、sudo yum-config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo

3、sudo yum -y install vault

# 启动vault
4、vault server -dev

记住启动之后控制台生成的token和key,后面需要使用。
在这里插入图片描述

2、minio配置https访问

2.1、生成公私钥

下载生成工具地址

# 这里就是指定你服务端的域名或者ip地址,可以传入多个
certgen -host "minio服务器地址,127.0.0.1,localhost"

Created a new certificate 'public.crt', 'private.key' valid for the following names 📜
 - "127.0.0.1"
 - "localhost"

产生两个文件private.key public.crt,放到/{$HOME}/.minio/certs下,默认为root/.minio/certs

2.2、配置minio配置文件

配置文件默认位于/{$HOME}/.minio下的config.json文件中,我的位置为/root/.minio/config.json。没有就创建一个。

{
  "port": 9000,
  "certificates": [
    {
      "enable_tls": true, # 开启tls
      "certificate": "/root/.minio/certs/public.crt", # 公钥位置
      "key": "/root/.minio/certs/private.key"  # 私钥位置
    }
  ],
  "vault": {   # 配置kms
    "enabled": true,
    "address": "http://127.0.0.1:8200", # vault服务地址端口
    "token": "hvs.UNGHZnU2O7CnllgKgFAFLtpK", # 安装vault服务生成的token
    "key": "cIJKWj//MZU/7DjremYC8TKfMux/TBerU3s+95Px2vg=" # 安装vault服务生成的key
  },
  "MINIO_VOLUMES": "https://172.16.102.230:9000/data"
}

2.3、指定配置文件方式重启Minio服务

# --config-dir /root/.minio 为指定配置文件,--config-dir后跟你的配置文件所在目录即可
./bin/minio server --config-dir /root/.minio /u01/isi/application/component/minio/data >> /u01/isi/application/component/minio/logs/minio.log

3、对JDK服务进行秘钥配置

此时服务配置为https访问,jdk对于未知的安全地址会拒绝,抛出异常:PKIX path building failed。
需要把刚才生成的秘钥证书crt文件加入到jdk的密钥库中。
进入到jdk的bin目录中,执行如下命令。实际生产需要集成到dockerfile中。

# keytool 是 Java 中用于管理密钥和证书的工具。-import 参数用于将证书从其他密钥库导入到 Java 密钥库中。以下是 -import 参数的常用选项:
# -alias <alias>:为导入的密钥指定别名。
# -file <filename>:指定要导入的证书文件名。
# -keystore <keystore-name>:指定密钥库的名称(默认为 .keystore)。
# -keypass <password>:指定密钥的密码(默认为 changeit)。
# -storepass <password>:指定密钥库的密码(默认为 changeit)。
# -noprompt:不提示输入密钥库密码。
# -trustcacerts:将 CA 证书导入信任的 CA 证书列表。
# -cacerts:指定 CA 证书的密钥库(默认为 cacerts)

keytool -import  -v -trustcacerts -alias s3crt  -file  [crt的路径]  -storepass changeit -keystore "C:\Users\DELL\.jdks\jbr-17.0.9\lib\security\cacerts"
其中C:\Users\DELL\.jdks\jbr-17.0.9为jdk安装目录,cacerts表示放到jdk的security下的cacerts密钥库。

例子如下:
keytool -import  -v -trustcacerts -alias s3crt  -file  C:\Users\DELL\.jdks\jbr-17.0.9\lib\security\public.crt  -storepass changeit -keystore "C:\Users\DELL\.jdks\jbr-17.0.9\lib\security\cacerts"

在这里插入图片描述
在这里插入图片描述
并且在代码中设置参数告知JVM访问密钥库。下面为写在代码中,实际生产可以在dockerfile中写入jvm参数

System.setProperty("javax.net.ssl.trustStore", "cacerts");	// cacerts为秘钥库

实际可以在jvm启动的时候以参数形式传入启动,无需写死在代码中:java -jar -Djavax.net.ssl.trustStore=cacerts app.jar

以上过程最好都在root用户下执行,注意读写权限。

4、代码实现

<dependency>
    <groupId>com.amazonaws</groupId>
    <artifactId>aws-java-sdk-s3</artifactId>
    <version>1.12.572</version>
</dependency>

import lombok.Data;

@Data
public class S3Config {
    private String accessKey;
    private String secretKey;
    private String bucket;
    private String endpoint;
    private String domain;
    private String region;
    private String service;
}


import com.amazonaws.HttpMethod;
import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.AWSStaticCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.client.builder.AwsClientBuilder;
import com.amazonaws.services.s3.AmazonS3;
import com.amazonaws.services.s3.AmazonS3ClientBuilder;
import com.amazonaws.services.s3.model.*;

import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;

import org.springframework.web.multipart.MultipartFile;

import xyz.playedu.common.exception.ServiceException;
import xyz.playedu.common.types.config.S3Config;
import xyz.playedu.common.types.config.S3KeyConfig;

import java.io.ByteArrayInputStream;
import java.io.InputStream;
import java.nio.charset.StandardCharsets;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;

@Slf4j
public class S3Util {

    private S3Config defaultConfig;

    private S3KeyConfig s3KeyConfig;

    public S3KeyConfig getS3KeyConfig() {
        return s3KeyConfig;
    }

    public void setS3KeyConfig(S3KeyConfig s3KeyConfig) {
        this.s3KeyConfig = s3KeyConfig;
    }

    public S3Config getS3Config() {
        return defaultConfig;
    }

    public S3Util(S3Config s3Config) {
        defaultConfig = s3Config;
    }

    public S3Util setConfig(S3Config config) {
        defaultConfig = config;
        return this;
    }

    public boolean configIsEmpty() {
        return defaultConfig == null
                || StringUtil.isEmpty(defaultConfig.getDomain())
                || StringUtil.isEmpty(defaultConfig.getEndpoint())
                || StringUtil.isEmpty(defaultConfig.getAccessKey())
                || StringUtil.isEmpty(defaultConfig.getSecretKey());
    }

    @SneakyThrows
    private AmazonS3 getClient() {
        if (defaultConfig == null) {
            throw new ServiceException("存储服务未配置");
        }
        AWSCredentials credentials =
                new BasicAWSCredentials(defaultConfig.getAccessKey(), defaultConfig.getSecretKey());

        AwsClientBuilder.EndpointConfiguration endpointConfiguration =
                new AwsClientBuilder.EndpointConfiguration(
                        defaultConfig.getEndpoint(), defaultConfig.getRegion());

        AmazonS3ClientBuilder builder = AmazonS3ClientBuilder.standard();
        // 开启路径访问
        builder.setPathStyleAccessEnabled(true);

        return builder.withCredentials(new AWSStaticCredentialsProvider(credentials))
                .withEndpointConfiguration(endpointConfiguration)
                .build();
    }

    @SneakyThrows
    public String saveFile(MultipartFile file, String savePath, String contentType) {
        ObjectMetadata objectMetadata = new ObjectMetadata();
        objectMetadata.setContentType(contentType);
        objectMetadata.setContentLength(file.getInputStream().available());
        getClient()
                .putObject(
                        defaultConfig.getBucket(), savePath, file.getInputStream(), objectMetadata);
        return generateEndpointPreSignUrl(savePath);
    }

    @SneakyThrows
    public String saveBytes(byte[] file, String savePath, String contentType) {
        InputStream inputStream = new ByteArrayInputStream(file);
        ObjectMetadata objectMetadata = new ObjectMetadata();
        objectMetadata.setContentType(contentType);
        objectMetadata.setContentLength(inputStream.available());
        getClient().putObject(defaultConfig.getBucket(), savePath, inputStream, objectMetadata);
        return generateEndpointPreSignUrl(savePath);
    }

    public String uploadId(String path) {
        InitiateMultipartUploadRequest request =
                new InitiateMultipartUploadRequest(defaultConfig.getBucket(), path);
        InitiateMultipartUploadResult result = getClient().initiateMultipartUpload(request);
        return result.getUploadId();
    }

    public String generatePartUploadPreSignUrl(
            String filename, String partNumber, String uploadId) {
        GeneratePresignedUrlRequest request =
                new GeneratePresignedUrlRequest(
                        defaultConfig.getBucket(), filename, HttpMethod.PUT);
        request.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)); // 一个小时有效期
        request.addRequestParameter("partNumber", partNumber); // 分块索引
        request.addRequestParameter("uploadId", uploadId); // uploadId
        return getClient().generatePresignedUrl(request).toString();
    }

    @SneakyThrows
    public String merge(String filename, String uploadId) {
        AmazonS3 client = getClient();

        ListPartsRequest listPartsRequest =
                new ListPartsRequest(defaultConfig.getBucket(), filename, uploadId);
        PartListing parts = client.listParts(listPartsRequest);
        if (parts.getParts().isEmpty()) {
            throw new ServiceException("没有已上传的分片文件");
        }

        List<PartETag> eTags = new ArrayList<>();
        parts.getParts()
                .forEach(
                        item -> {
                            eTags.add(new PartETag(item.getPartNumber(), item.getETag()));
                        });

        CompleteMultipartUploadRequest request = new CompleteMultipartUploadRequest();
        request.setBucketName(defaultConfig.getBucket());
        request.setKey(filename);
        request.setUploadId(uploadId);
        request.setPartETags(eTags);

        client.completeMultipartUpload(request);
        String s3Key = s3KeyConfig.getS3Key();
        if (StringUtil.isNotEmpty(s3Key)) {
            SSECustomerKey sseCustomerKey = new SSECustomerKey(s3Key);
            request.setSSECustomerKey(sseCustomerKey);
        }
        return generateEndpointPreSignUrl(filename);
    }

    public void removeByPath(String path) {
        DeleteObjectRequest request = new DeleteObjectRequest(defaultConfig.getBucket(), path);
        getClient().deleteObject(request);
    }

    public boolean exists(String path) {
        return getClient().doesObjectExist(defaultConfig.getBucket(), path);
    }

    @SneakyThrows
    public String getContent(String path) {
        S3Object s3Object = getClient().getObject(defaultConfig.getBucket(), path);
        return new String(s3Object.getObjectContent().readAllBytes(), StandardCharsets.UTF_8);
    }

    public String generateEndpointPreSignUrl(String path) {
        if (defaultConfig.getService().equals("minio")) {
            return defaultConfig.getDomain() + "/" + path;
        }
        return "";
    }


    @SneakyThrows
    public String saveFile2(MultipartFile file, String savePath, String contentType) {
        ObjectMetadata objectMetadata = new ObjectMetadata();
        objectMetadata.setContentType(contentType);
        objectMetadata.setContentLength(file.getInputStream().available());
        getClient()
                .putObject(
                        defaultConfig.getBucket(), savePath, file.getInputStream(), objectMetadata);
        return generateEndpointPreSignUrl(savePath);
    }
}

4.1、上传数据

import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.AWSStaticCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.client.builder.AwsClientBuilder;
import com.amazonaws.services.s3.AmazonS3;
import com.amazonaws.services.s3.AmazonS3ClientBuilder;
import com.amazonaws.services.s3.model.PutObjectRequest;
import com.amazonaws.services.s3.model.PutObjectResult;
import com.amazonaws.services.s3.model.SSECustomerKey;
import xyz.playedu.common.types.config.S3Config;
import xyz.playedu.common.types.config.S3KeyConfig;
import xyz.playedu.common.util.S3Util;

import java.io.File;

public class TestUpload {
    public static void main(String[] args) {
        // 告知jdk识别证书
        System.setProperty("javax.net.ssl.trustStore", "cacerts");

        S3Config defaultConfig = new S3Config();
        // 上传到minio的bucket
        defaultConfig.setBucket("test");
        // minio的账户
        defaultConfig.setAccessKey("minioadmin");
        // minio的密码
        defaultConfig.setSecretKey("miniopass");
        // minio的地址
        defaultConfig.setEndpoint("https://ip:9000");
        // minio的地址
        defaultConfig.setDomain("https://ip:9000");
        S3Util s3Util = new S3Util(defaultConfig);
        S3KeyConfig s3KeyConfig = new S3KeyConfig();
        // valuat的Key
        String s3Key = "valuat的Key";
        s3KeyConfig.setS3Key(s3Key);
        s3Util.setS3KeyConfig(s3KeyConfig);
        // 要上传的本地文件
        File file = new File("D:\\file\\levi.mp4");
        String keyName = "levi.mp4";

        AWSCredentials credentials =
                new BasicAWSCredentials(defaultConfig.getAccessKey(), defaultConfig.getSecretKey());

        AwsClientBuilder.EndpointConfiguration endpointConfiguration =
                new AwsClientBuilder.EndpointConfiguration(
                        defaultConfig.getEndpoint(), defaultConfig.getRegion());

        AmazonS3ClientBuilder builder = AmazonS3ClientBuilder.standard();
        // 开启路径访问
        builder.setPathStyleAccessEnabled(true);

        AmazonS3 amazonS3 = builder.withCredentials(new AWSStaticCredentialsProvider(credentials))
                .withEndpointConfiguration(endpointConfiguration)

                .build();

        PutObjectRequest putObjectRequest = new PutObjectRequest(defaultConfig.getBucket(), keyName, file);
        SSECustomerKey sseCustomerKey = new SSECustomerKey(s3Key);
        putObjectRequest.setSSECustomerKey(sseCustomerKey);

        PutObjectResult putObjectResult = amazonS3.putObject(putObjectRequest);
        System.out.println(putObjectResult.getSSECustomerAlgorithm());
        System.out.println(putObjectResult.getMetadata());
    }
}

运行程序,上传成功,然后打开minio对应的bucket查看,这时候你通过后台直接下载是会报失败的,加密文件了属于是。
需要通过解密才能获取。

4.2、下载数据

import com.amazonaws.auth.AWSCredentials;
import com.amazonaws.auth.AWSStaticCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.client.builder.AwsClientBuilder;
import com.amazonaws.services.s3.AmazonS3;
import com.amazonaws.services.s3.AmazonS3ClientBuilder;
import com.amazonaws.services.s3.model.*;
import xyz.playedu.common.types.config.S3Config;
import xyz.playedu.common.types.config.S3KeyConfig;
import xyz.playedu.common.util.S3Util;

import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.OutputStream;

public class Testget {
    public static void main(String[] args) {
        System.setProperty("javax.net.ssl.trustStore", "cacerts");	// 刚才填写的路径

        S3Config defaultConfig = new S3Config();
        defaultConfig.setBucket("test");
        defaultConfig.setAccessKey("minioadmin");
        defaultConfig.setSecretKey("miniopass");
        defaultConfig.setEndpoint("https://ip:9000");
        defaultConfig.setDomain("https://ip:9000");
        S3Util s3Util = new S3Util(defaultConfig);
        S3KeyConfig s3KeyConfig = new S3KeyConfig();
        String s3Key = "valuat的Key";
        s3KeyConfig.setS3Key(s3Key);
        s3Util.setS3KeyConfig(s3KeyConfig);
        // 下载到
        File file = new File("D:\\file\\levi.mp4");
        String keyName = "levi.mp4";

        AWSCredentials credentials =
                new BasicAWSCredentials(defaultConfig.getAccessKey(), defaultConfig.getSecretKey());

        AwsClientBuilder.EndpointConfiguration endpointConfiguration =
                new AwsClientBuilder.EndpointConfiguration(
                        defaultConfig.getEndpoint(), defaultConfig.getRegion());

        AmazonS3ClientBuilder builder = AmazonS3ClientBuilder.standard();
        // 开启路径访问
        builder.setPathStyleAccessEnabled(true);

        AmazonS3 amazonS3 = builder.withCredentials(new AWSStaticCredentialsProvider(credentials))
                .withEndpointConfiguration(endpointConfiguration)

                .build();

        GetObjectRequest getObjectRequest = new GetObjectRequest("test", keyName);
        SSECustomerKey sseCustomerKey = new SSECustomerKey(s3Key);
        getObjectRequest.setSSECustomerKey(sseCustomerKey);

        S3Object object = amazonS3.getObject(getObjectRequest);
        S3ObjectInputStream objectContent = object.getObjectContent();

        // 指定本地文件路径
        String localFilePath = "D:\\levi.mp4";

        try (OutputStream outputStream = new FileOutputStream(new File(localFilePath))) {
            byte[] buffer = new byte[1024];
            int bytesRead;
            while ((bytesRead = objectContent.read(buffer)) != -1) {
                outputStream.write(buffer, 0, bytesRead);
            }
            System.out.println("文件成功输出到:" + localFilePath);
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            try {
                objectContent.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
    }
}

4、参考链接

1、https://blog.youkuaiyun.com/liruiqing/article/details/80416740
2、https://github.com/minio/certgen
3、https://developer.hashicorp.com/vault/tutorials/getting-started/getting-started-install
4、https://blog.youkuaiyun.com/xuzhongyi103/article/details/131515281

AWS无服务器 应用程序开发—第九章 文件存储(Amazon S3
xianyinsuifeng的博客
06-13 468
Amazon Simple Storage Service (S3) 是一种高度可扩展、可靠且低延迟的数据存储服务,广泛用于存储和检索任意数量的数据。它提供了一种简单的基于Web服务的接口,可以在任何地方存储和检索数据。
JavaEE知识体系
热门推荐
yuh2012的博客
07-11 2万+
1 1.文件上传下载 1.1 文件上传 1.1.1 文件上传的作用 例如网络硬盘!就是用来上传下载文件的。 在智联招聘上填写一个完整的简历还需要上传照片呢。 1.1.2 文件上传对页面的要求 1.必须使用表单,而不能是超链接; 2.表单的method必须是POST,而不能是GET; 3.表单的enctype必须是multipart/form-data; 4.在表单中添加file表
AWS S3加密
iloveaws的博客
10-17 1138
加密和解密的动作都是在S3进行的,当您的数据写入存储桶时,数据将会被加密;我们看下这个策略的内容,首先,任何主体,对资源这里配置我们的存储桶的arn的putobject也就是上传对象的操作都是被拒绝的。客户端加密是在客户端进行,AWS对此一无所知,你自行在客户端加密数据,然后将其上传到S3,这样存储桶内存储的就是加密后的数据;加密和解密也是在存储桶上进行的,当客户端将数据写入S3,S3对该数据进行加密
S3安全和加密选项
weixin_42230010的博客
02-28 569
加密,即使用HTTPS而不是HTTP来传输从S3到客户端之间的数据。
详解minio部署
最新发布
sozee910的博客
04-08 519
MinIO 是一款高性能、开源的分布式对象存储解决方案,专为存储非结构化数据(如图片、视频、备份数据等)而设计。MinIO 在吞吐量和延迟上表现出高性能提供与 Amazon S3 完全兼容的 API,支持水平扩展,支持端到端加密、访问控制等,能够无缝运行在本地数据中心、公有云或混合云环境中,适应多样化的存储需求。本文详解minio的部署
Go-利用KMS密钥加密和解密在S3中的文件
08-13
利用KMS密钥加密和解密在S3中的文件
s3fs-cryptopp-fuse-s3:使用Amazon的S3云存储实施AES-CBC(高级加密标准–密码块链接)文件加密和解密
05-19
s3fs-cryptopp-fuse-s3 使用Amazon的S3云存储实施AES-CBC(高级加密标准–密码块链接)文件加密和解密。 该项目旨在在创建,编辑或放置文件到本地安装位置时使用Amazon S3实施AES-CBC文件加密和解密。 该文件将立即加密并上传到Amazon S3存储桶。 本地文件系统中的所有文件都将自动解密,用户可以并且用户可以操作和使用这些文件,而无需显式调用任何类型的解密。 从Amazon S3存储桶的Web界面,该文件将保持加密状态。 每当文件从在线存储桶移到本地文件夹时,相关文件将立即使用存储在用户计算机上的本地加密/解密密钥解密。 该项目使用: *亚马逊S3 * s3fs *加密++ *保险丝 可在README和Nabors_Jonathan_Final_Report_CSC4420.pdf中找到安装说明列表和最终报告示例。
掌握AWS Lambda与Comprehend的Python实践
- **部署包**: Python Lambda 函数可以通过 ZIP 文件或 Amazon S3 来部署,取决于代码和依赖项的大小。 - **环境变量**: Python 开发者可以在部署 Lambda 函数时设置环境变量,这些变量可以在函数运行时被读取,...
存储相关基本知识:oss\s3\文件存储\块存储\
尚墨1111的博客
07-10 3426
存储基本知识
aws rds 加密_如何在AWS S3上存储加密文件
weixin_26636643的博客
09-27 992
aws rds 加密AWS S3 storage offers four ways of server-side data encryption: AWS S3存储提供了四种服务器端数据加密方式: SSE-S3, where the encryption keys are managed by AWS. SSE-S3,其中加密密钥由AWS管理。 SSE-KMS, where the encryp...
云上转型数据存储安全--S3存储桶加密
聆听你的心声
06-10 1583
上转型的安全疑虑 因为是技术平台公司,所以需要很快的平台技术迭代,但是由于传统的技术阻碍,近些年创新的速度明显减慢,因此上云被认为是规避IT技术瓶颈和发展界限最方便快捷的方式。 了解三种云 云分为三种:公有云,私有云和混合云。公有云是能够以低廉的价格,提供有吸引力的服务给最终用户,创造新的业务价值,还能够整合上游的服务(如增值业务,广告)提供者和下游最终用户,打造新的价值链和生态系统。它...
亚马逊S3接口文档
06-13
Amazon Simple Storage Service 文档。提供了 Amazon S3 的概念性介绍,以及使用各种功能的详细说明。
S3 java sdk 文档-使用手册.pdf
11-03
AmazonS3 sdk中文文档
S3对象存储接口文档中文版(亚马逊规则通用)
02-28
亚马逊规则的S3对象存储接口文档,目前官方只有英文版的,这个少有的中文版,你值得拥有。
加密存储服务器_如何使用服务器端加密对s3存储桶进行加密
weixin_26722031的博客
07-30 834
加密存储服务器Another method of encrypting your data on AWS is through the Key Management Service. It is somewhat different from server-side encryption. You can find a step-by-step walk-through on it here. 在...
AWS实战 - 对S3数据加密方式的总结
weixin_33836874的博客
12-10 2832
名词解释 KMS: AWS Key Management Service,AWS的密钥托管服务; 数据加密密钥: 用于对S3对象进行加密的密钥; 主密钥: 也叫客户主密钥或CMK,根据不同的加密方式,主密钥有可能直接用于加密S3对象,也有可能用于加密数据加密密钥; 托管: 在本文中,是指对密钥进行管理,包括对密钥的创建、启用、停...
轻松掌握!使用SSE-KMS加密的S3存储桶上传文件所需的权限
因果律的博客
07-29 1155
本文介绍了在将文件上传到使用 SSE-KMS 加密的 S3 时所需的权限,并说明了“Encrypt”权限何时使用。特别是对于多部分上传操作,可能不容易察觉需要“Decrypt”权限。希望大家在设计系统时,能够意识到最小权限原则,仔细梳理真正需要的权限。
AWS S3存储桶数据加密设定
数据之路
01-20 350
但是这种方式就无法授权第三方AWS账户来访问,因为KMS下这个系统自带的S3 key是无法编辑的,也就是无法添加其他AWS账户的访问。完成后,客户端,如果是用IAM用户访问,就需要把这个用户id添加到KMS 这个key的policy里面才可以,不然会提示拒绝访问。对S3桶进行数据加密,最简单的方式就是通过AWS KMS自带的aws/s3托管方式。这个完成后,到S3 bucket属性去启用S3加密并选择这个自己创建的key。第二种方式是生成和使用一个自己的key来加密这些数据,步骤如下,进入KMS。
AmazonS3文档——对象存储的用法之《存储桶操作》
万米高空的博客
11-09 6684
最近应业务需要,要把保单相关的电话录音进行整理,并逐渐取缔本地硬盘存储的方式,改为AmazonS3云存储。一方面让录音文件的目录结构变得更加统一,有利于维护和查询;另一方面可以保证录音信息不会丢失。当然关于亚马逊的这个对象存储是花钱的服务,这点决定了接触的人不会太多吧。这里记录一下以后备用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值