AWS S3 設置 Bucket Policy 強制加密

云計算

AWS S3在上傳和下載的時(shí)候，默認會(huì )使用TLS的方式進(jìn)行加密和解密。這個(gè)具體是在哪里配置的呢？

最簡(jiǎn)單的方式是在S3里面，當我們創(chuàng )建一個(gè)新的Bucket的時(shí)候，我們可以在console上選擇默認加密，如下面所示

默認可以選擇SSE-S3或者SSE-KMS服務(wù)加密。后者安全性更高 不過(guò)會(huì )有一些額外費用。

如果在創(chuàng )建的時(shí)候沒(méi)有進(jìn)行選擇，我們還可以通過(guò)設置Bucket Policy來(lái)進(jìn)行加密。在A(yíng)WS里面，所有的服務(wù)都是API，因此所有的設定都可以轉換成頭文件里面對應的參數。比如說(shuō)，我們可以通過(guò)禁止頭文件里面沒(méi)有加密參數的請求進(jìn)行上傳操作。

具體操作如下

在對應的bucket里面， 進(jìn)入Permission – Bucket Policy – 最下面選擇 Policy Generator

基本設置

Type of Policy:S3 Bucket Policy
Effect:Deny
Principal:
AWS Service: Amazon S3
Actions: PutObject
ARN: arn:aws:s3:::XXXXXX
Condition:stringnotequals
key:s3-x-amz-server-side-encryption
value:aws:kms

生成器會(huì )自動(dòng)生成下列配置文檔 拷貝到對應的editor里面。 咦 居然報錯！

解決方法很簡(jiǎn)單，需要在bucket后面添加一個(gè)通配符。這個(gè)應該是aws的一個(gè)bug

點(diǎn)擊保存就行了。

現在來(lái)測試一下。

首先上傳一個(gè)文件，選擇不加密

結果失敗

重新上傳一次，這次選擇 AWS KMS master-key

上傳成功！

更多關(guān)于云服務(wù)器，域名注冊，虛擬主機的問(wèn)題，請訪(fǎng)問(wèn)特網(wǎng)科技官網(wǎng)：wap.friendlycc.com.cn