我正在将Kinesis Firehose传递流设置到S3,我注意到您可以设置一个自定义的KMS密钥,用于对S3上的文件进行加密。
但是,如果S3存储桶已经启用了KMS加密,则无论如何都将对文件进行加密。当然不同之处在于,将使用默认的AWS Manager S3 KMS密钥,而不是提供给Firehose的客户管理的定制KMS密钥。
与依靠默认的S3 KMS密钥相反,通常为什么使用自定义KMS密钥对S3上的Firehose数据进行加密?如果您同时也是S3存储桶的所有者并控制其设置,那么这样做有什么意义吗?还是在您不控制目标设置的情况下启用加密的主要用途?桶?
与S3提供的用于加密静态数据的KMS密钥相反,Firehose关联的KMS密钥是否还用于加密传输中的数据?
答案 0 :(得分:3)
Kinesis Firehose登陆S3时将使用您指定的KMS密钥对对象进行加密。您可能无法控制S3存储桶的加密设置,并且出于某种原因,您可能想要使用与S3默认KMS加密密钥不同的KMS密钥(具有不同的权限)。 S3存储桶中的不同层次结构中可能有许多不同的对象,是否需要不同的KMS加密。
S3不应“双重加密”您的数据。来自Kinesis Firehose的KMS加密将在S3放置标头中指定,因此S3在实际写入时将知道要使用的加密设置。如果S3存储桶上有默认的KMS设置,并且在put标头(无论是SSE还是KMS)中找不到加密设置,则S3应该应用存储桶设置中指定的默认加密。