背景 - 我正在尝试为我们的一个存储桶设置跨区域复制。我们的存储桶目前通过 KMS CMK(客户管理的密钥)进行加密。我们知道 AWS KMS 是特定于区域的。
我能够毫无问题地复制未加密的对象。
问题 - 当对象(已加密)复制到当前未加密的目标存储桶时,目标存储桶中的对象是否会被解密。因为我们知道 CMK 密钥在目标区域将不可用?
答案 0 :(得分:1)
您从中复制的 S3 服务需要使用该区域的 CMK 解密数据密钥,然后使用目标区域的 CMK 构造一个新的信封。无需解密实际数据。
如果您要跨账户复制,则源账户需要使用目标账户的 CMK 进行加密的访问权限,但目标账户不需要使用源账户的 CMK 进行解密的访问权限。这表明源存储桶所在的 S3 服务是在复制之前构建新信封的服务——这既是逻辑上又是安全的方式。 (https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-config-for-kms-objects.html#replication-kms-cross-acct-scenario)
因此,在传输过程中,复制的对象使用 TLS 和 KMS 进行加密。
(披露:我受雇于 AWS)