发布于: Dec 2, 2020
Amazon S3 存储桶密钥使用 Amazon Key Management Service (KMS) 减少了从 S3 到 KMS 的请求流量,将 Amazon S3 服务器端加密 (SSE) 的请求成本降低多达 99%。只需在 亚马逊云科技管理控制台中单击几下,并且无需更改客户端应用程序,您就可以配置存储桶以使用 S3 存储桶密钥对新对象进行基于 KMS 的加密。
访问使用 SSE-KMS 加密的数百万或数十亿个对象的工作负载可能会生成针对 KMS 的大量请求。这是因为 S3 中的 KMS 加密对象使用单独的 KMS 密钥,并且 S3 会根据对这些对象的每次读取和写入请求向 KMS 发出调用。使用 S3 存储桶密钥,KMS 会生成一个存储桶级密钥,而不是为每个 KMS 加密对象生成单独的 KMS 密钥。S3 使用此存储桶密钥为存储桶中的对象创建唯一的数据密钥,这使您无需发出其他 KMS 请求即可完成加密操作。这样可以减少从 S3 到 KMS 的请求流量,使您能以之前成本的一小部分访问 S3 中的加密对象。可通过 S3 管理控制台、软件开发工具包或 API 配置 S3 存储桶密钥。您还可以选择通过 API 和软件开发工具包,使用单个按对象生成的 KMS 密钥覆盖存储桶中特定对象的 S3 存储桶密钥配置。