按照文档:
Amazon S3 存储桶密钥可降低使用 AWS Key Management Service (SSE-KMS) 进行 Amazon S3 服务器端加密的成本。通过减少从 Amazon S3 到 AWS KMS 的请求流量,这一新的 SSE 存储桶级密钥可将 AWS KMS 请求成本降低高达 99%。只需在 AWS 管理控制台中单击几下,无需对客户端应用程序进行任何更改,即可将存储桶配置为使用 S3 存储桶密钥对新对象进行基于 AWS KMS 的加密。
文档指出了启用该功能之前要注意的几个场景,但没有列出为什么要禁用它的任何原因......那么为什么它甚至是一个选项呢?
我想不出任何用户希望禁用此功能的用例(如果他们已经在使用 KMS)。有什么想法吗?
答案1
此存储桶密钥受 AWS 控制。使用 S3 存储桶的 AWS 客户无法控制密钥何时轮换或禁用等。AWS 可以非常方便地管理所有与密钥相关的活动,而无需客户担心,而且 AWS 使用的密钥非常强大。
组织的信息安全 (InfoSec) 团队可能要求所有加密都由组织控制的密钥执行。AWS 控制的密钥可能不够好。在这种情况下,InfoSec 团队可能会规定必须使用客户管理的密钥,从而排除您询问的密钥类型。