Amazon web services 如果S3加密的AWS密钥丢失,会发生什么情况?
我有一个使用cloudformation创建的S3存储桶Amazon web services 如果S3加密的AWS密钥丢失,会发生什么情况?,amazon-web-services,amazon-s3,aws-kms,Amazon Web Services,Amazon S3,Aws Kms,我有一个使用cloudformation创建的S3存储桶 RenditionsBucket: Type: AWS::S3::Bucket Properties: BucketEncryption: ServerSideEncryptionConfiguration: - ServerSideEncryptionByDefault: SSEAlgorithm: aws:kms KMSMasterKeyID:
RenditionsBucket:
Type: AWS::S3::Bucket
Properties:
BucketEncryption:
ServerSideEncryptionConfiguration:
- ServerSideEncryptionByDefault:
SSEAlgorithm: aws:kms
KMSMasterKeyID: !Ref BucketEncryptionKey
CorsConfiguration:
CorsRules:
- AllowedHeaders:
- "*"
AllowedMethods:
- GET
- HEAD
- POST
- PUT
- DELETE
AllowedOrigins:
- "*"
BucketEncryptionKey:
Type: AWS::KMS::Key
Properties:
Enabled: true
KeyPolicy:
Version: 2012-10-17
Statement:
- Effect: Allow
Action: kms:*
Principal:
AWS: !Sub arn:aws:iam::${AWS::AccountId}:root
Resource: "*"
现在,这将加密服务器上静止的文档。但是,如果我的
BucketEncryptionKeyAWS::KMS::keyAWS::KMS::KeyS3中的对象在AWS KMS客户主密钥(CMK)下加密, 因此,为了解密每个对象,CMK必须是可用的 因此,如果删除CMK,数据将无法恢复 如果您想删除,这实际上是一个很大的好处 分布式系统中的大量数据。 删除(有时甚至只是查找)很多东西是很困难的。 验证您是否删除了所有这些内容以及它们是否无法恢复更加困难。 删除一件事(本例中的CMK)要容易得多, 并将导致在该密钥下加密的所有数据变得不可恢复 加密数据的这一特性是无法直接删除CMK的原因之一。 您可以计划在未来至少七天内删除CMK[1](默认值为30)。 当您计划删除时,CMK将被禁用, 但它直到删除日期才被删除 如果您意识到在计划删除和删除日期之间需要CMK, 您可以取消删除 类似地,如果您通过CloudFormation创建CMK, 然后当CloudFormation“删除”CMK资源时, 它实际做的是安排CMK删除。 默认情况下,这是在未来30天内安排的, 但如果设置“PendingWindowInDays”值[2], 您可以选择7到30天之间的自定义期间 有关这方面的更多信息,请参阅CMK删除文档[3] [1] [2]
[3] S3中的对象在AWS KMS客户主密钥(CMK)下加密, 因此,为了解密每个对象,CMK必须是可用的 因此,如果删除CMK,数据将无法恢复 如果您想删除,这实际上是一个很大的好处 分布式系统中的大量数据。 删除(有时甚至只是查找)很多东西是很困难的。 验证您是否删除了所有这些内容以及它们是否无法恢复更加困难。 删除一件事(本例中的CMK)要容易得多, 并将导致在该密钥下加密的所有数据变得不可恢复 加密数据的这一特性是无法直接删除CMK的原因之一。 您可以计划在未来至少七天内删除CMK[1](默认值为30)。 当您计划删除时,CMK将被禁用, 但它直到删除日期才被删除 如果您意识到在计划删除和删除日期之间需要CMK, 您可以取消删除