考题解析 | Amazon S3 存储的静态加密功能使用场景


  题目

一家公司的安全团队要求存储在云中的所有数据始终使用存储在本地的加密密钥进行静态加密。哪些加密选项符合这些要求? (请选择两项。)

A) 利用使用 Amazon S3 托管式加密密钥 (SSE-S3) 的服务器端加密。
B) 利用使用 AWS KMS 托管式加密密钥 (SSE-KMS) 的服务器端加密。
C) 利用使用客户提供的加密密钥 (SSE-C) 的服务器端加密。
D) 使用客户端加密以提供静态加密。
E) 使用 Amazon S3 事件调用的 AWS Lambda 函数,通过客户的密钥对数据加密。

  参考答案

C、D

  参考解析

使用客户所提供密钥的服务器端加密 (SSE-C),这使 Amazon S3 能够使用 PUT 请求中提供的加密密钥加密服务器端的对象。必须在 GET 请求中提供相同的密钥,Amazon S3 才能对对象进行解密。

Amazon S3 不存储用户提供的加密密钥,而是存储加密密钥的添加了随机数据的 HMAC 散列消息认证码(HMAC)值,以验证将来的请求。使用 SSE-C 本身不会产生费用,但是,配置和使用 SSE-C 的请求会产生标准的 Amazon S3 请求费用。

为了进一步提高数据的安全性,用户还可以选择在将数据上传到 Amazon S3 之前在客户端对数据进行加密,然后在下载数据后对数据进行解密。