问题: 服务器端加密(使用S3托管或KMS托管密钥)文件是否已转换为Glacier? 如果是,是否使用S3或KMS密钥解密,然后使用Glacier的内部密钥再次加密,因为Glacier中的所有对象都使用内部AES 256密钥加密?
问题陈述: 我在S3中使用KMS托管密钥加密了一些文件。我有一个生命周期规则,在1天后存档到Glacier,但文件仍然显示存储类为'标准'甚至在3天之后。
答案 0 :(得分:0)
我在AWS文档和论坛中查看过,但找不到这个问题的直接答案。
但我发现,即使是 CRR 也无法处理 SSE-C 和 SSE-KMS 加密对象(在什么不是复制部分)。因此,我认为转换规则也无法处理SSE-C和SSE-KMS加密文件,因为 Glacier 仅支持 AES-256 加密。
答案 1 :(得分:0)
文档中没有任何内容表明生命周期策略中的存储类更改与SSE-KMS不兼容。
在存档时,S3对象按原样(以SSE-KMS加密形式)移动到Glacier,再次由Glacier加密。 查看主题RSS Feed查看主题RSS源
- susan @ aws https://forums.aws.amazon.com/thread.jspa?messageID=786916
S3显然没有解密和重新加密,而是再次加密对象的加密版本,因此SSE-C也应兼容。
请注意,生命周期策略需要在实际开始转换对象之前最多24小时,并且新对象将在对象初始创建后的24到48小时内匹配“1天”规则。
如果有大量对象,您可能希望使用aws-cli来尝试查看是否已迁移任何对象。
aws s3api list-objects [options] --output-format=text | grep GLACIER
答案 2 :(得分:0)
我的生命周期规则具有特定于文件名的前缀,例如'com / folder-name / Daily-'。我创建了新的生命周期规则,以便它们以最后一个父文件夹名称和一个尾部斜杠'com / folder-name /'结束。
在此更改后等待24小时以上,未加密和SSE-kms加密文件都已转换为Amazon Glacier。
转换后,我确实理解他们都使用Glacier托管密钥进行内部加密,如本常见问题解答中所述。 https://aws.amazon.com/glacier/faqs/#security