Amazon web services S3中的服务器端加密文件是否转换到AWS Glacier?
问题: 服务器端加密(使用S3托管或KMS托管密钥)文件是否会转换到Glacier? 如果是,它们是否使用S3或KMS密钥解密,然后使用Glacier的内部密钥再次加密,因为Glacier中的所有对象都使用内部AES 256密钥加密 问题陈述:Amazon web services S3中的服务器端加密文件是否转换到AWS Glacier?,amazon-web-services,amazon-s3,amazon-glacier,aws-kms,Amazon Web Services,Amazon S3,Amazon Glacier,Aws Kms,问题: 服务器端加密(使用S3托管或KMS托管密钥)文件是否会转换到Glacier? 如果是,它们是否使用S3或KMS密钥解密,然后使用Glacier的内部密钥再次加密,因为Glacier中的所有对象都使用内部AES 256密钥加密 问题陈述: 我有一些S3中使用KMS托管密钥加密的文件。我有一个生命周期规则要在1天后归档到Glacier,但即使在3天后,这些文件仍然显示存储类为“标准”。我查看了AWS文档和论坛,但找不到这个问题的直接答案 但我发现,即使是CRR也不能处理SSE-C和SSE-K
我有一些S3中使用KMS托管密钥加密的文件。我有一个生命周期规则要在1天后归档到Glacier,但即使在3天后,这些文件仍然显示存储类为“标准”。我查看了AWS文档和论坛,但找不到这个问题的直接答案 但我发现,即使是CRR也不能处理SSE-C和SSE-KMS加密对象(在“未复制的内容”部分下)。因此,我假设转换规则也无法处理SSE-C和SSE-KMS加密文件,因为Glacier仅支持AES-256加密
我查看了AWS文档和论坛,但找不到这个问题的直接答案 但我发现,即使是CRR也不能处理SSE-C和SSE-KMS加密对象(在“未复制的内容”部分下)。因此,我假设转换规则也无法处理SSE-C和SSE-KMS加密文件,因为Glacier仅支持AES-256加密
文档中没有任何内容表明生命周期策略中的存储类更改与SSE-KMS不兼容 在存档中,S3对象按原样(以SSE-KMS加密形式)移动到Glacier,并再次由Glacier加密。 查看线程RSS源查看线程RSS源 -susan@aws S3显然不解密和重新加密,而是简单地再次加密对象的加密版本,因此SSE-C也应该兼容 请注意,生命周期策略在实际开始转换对象之前需要24小时,而新对象将在对象初始创建后24到48小时之间符合“1天”规则 如果存在大量对象,您可能希望使用aws cli尝试查看是否有对象已迁移
aws s3api list-objects [options] --output-format=text | grep GLACIER
文档中没有任何内容表明生命周期策略中的存储类更改与SSE-KMS不兼容 在存档中,S3对象按原样(以SSE-KMS加密形式)移动到Glacier,并再次由Glacier加密。 查看线程RSS源查看线程RSS源 -susan@aws S3显然不解密和重新加密,而是简单地再次加密对象的加密版本,因此SSE-C也应该兼容 请注意,生命周期策略在实际开始转换对象之前需要24小时,而新对象将在对象初始创建后24到48小时之间符合“1天”规则 如果存在大量对象,您可能希望使用aws cli尝试查看是否有对象已迁移
aws s3api list-objects [options] --output-format=text | grep GLACIER
我的生命周期规则具有特定于文件名的前缀,如“com/folder name/Daily-”。我创建了新的生命周期规则,以便它们以最后一个父文件夹名称和尾部斜杠“com/folder name/”结束 经过这一更改并等待24个多小时后,未加密和SSE kms加密的文件都转换到Amazon Glacier
转换后,我知道他们都使用Glacier托管密钥进行了内部加密,如本常见问题解答中所述 我的生命周期规则具有特定于文件名的前缀,如“com/folder name/Daily-”。我创建了新的生命周期规则,以便它们以最后一个父文件夹名称和尾部斜杠“com/folder name/”结束 经过这一更改并等待24个多小时后,未加密和SSE kms加密的文件都转换到Amazon Glacier 转换后,我知道他们都使用Glacier托管密钥进行了内部加密,如本常见问题解答中所述