对于 EBS 和 S3 加密(即使通过 KMS 的默认密钥)默认情况下是禁用的,正如我从文档中理解的那样,对于用户来说,卷/对象是否在后台加密没有区别。如果是真的,为什么默认情况下禁用此选项?如果不是,有什么缺点?
谢谢。
答案1
核心问题似乎是“加密我的 S3 对象和 EBS 卷有什么缺点吗?”
因素:
- 您必须小心不要删除您的加密密钥,否则您将无法访问您的数据,除非它们是 AWS 默认凭证。
- 加密可能会增加一点点延迟 - 但并不多,因为我怀疑它是由最新一代实例中的 Nitro 硬件完成的。
总而言之,我没有发现任何明显的缺点。
这也没什么好处——静态加密主要是为了防止有人窃取存储设备后访问您的数据,而这种情况不会发生在 AWS 数据中心,因为他们拥有良好的物理安全性,并会安全地销毁被处理的设备。但是,使用客户管理密钥和自定义密钥策略确实有一些优势。
更新
自 2023 年 1 月 5 日起,S3 对象默认加密。正如我上面提到的,这实际上对安全性没有太大帮助,因为 AWS 拥有解密密钥,并且在收到对象的有效请求时会解密对象。
答案2
如果不拍摄 EBS ROOT 卷的快照,就无法对其进行加密。这就是它默认不显示的原因。