[S3][加密]-S3資料加密與跨區使用 - encryption keys be generated at the company headquarters

回覆文章
2311
Points: 344 
文章: 74
註冊時間: 2020年 3月 10日, 03:22

[S3][加密]-S3資料加密與跨區使用 - encryption keys be generated at the company headquarters

文章 2311 »

題目描述

A company is storing application data in Amazon S3 bucket across multiple AWS Regions. Company policy requires that encryption keys be generated at the company headquarters, but the encryption keys may be stored in AWS after generation. The Solutions Architect plans to configure cross-region replication. Which solution will encrypt the data while requiring the LEAST amount of operational overhead?

答案選項

(A) Configure the application to write to an S3 bucket using client-side encryption.

(B) Configure S3 buckets to encrypt using AES-256.

(C) Configure S3 object encryption using AWS CLI with Server_Side Encryption with AWS KMS_managed keys (SSE-KMS)

(D) Configure S3 bucket to use Server-Side encryption with AWS KMS-Management Keys (SSE-KMS)with imported key met--- in both region.
 
2311
Points: 344 
文章: 74
註冊時間: 2020年 3月 10日, 03:22

Re: [S3][加密]-S3資料加密與跨區使用 - encryption keys be generated at the company headquarters

文章 2311 »

(A) Configure the application to write to an S3 bucket using client-side encryption.

論述

因此題目內容指出

Company policy requires that encryption keys be generated at the company headquarters, but the encryption keys may be stored in AWS after generation.

要在本地端加密,而A選項是有明確指出,讓應用作客戶端加密。

參考文件

https://docs.aws.amazon.com/AmazonS3/la ... rKeys.html

缺陷點

此作法並沒有講述客戶端金鑰如何處理保存,也沒回答到 多Region備份的問題。
 
2311
Points: 344 
文章: 74
註冊時間: 2020年 3月 10日, 03:22

Re: [S3][加密]-S3資料加密與跨區使用 - encryption keys be generated at the company headquarters

文章 2311 »

(C) Configure S3 object encryption using AWS CLI with Server_Side Encryption with AWS KMS_managed keys (SSE-KMS)

論述

在AWS官方文件裡面,在對S3 Bucket做複製的時候,明確指出不會去複製 S3 Bucket內 已經用SSE-CMK加密的物件。

必須要透過 Cli 或 SDK,
  1. 要求S3 來源桶啟動版本功能
  2. 並讓S3 來源桶 繼承一個 IAM Role,此Role必須具有能夠在來源Region A使用KMS-A 解密物件,複製進 目的地 Region B的權限
  3. 並能調用 Region B的 KMS-B內的金鑰,把資料在複製的過程中加密,並放入RegionB的S3 Bucket
參考文件

官方實作紀錄
https://docs.aws.amazon.com/zh_cn/Amazo ... ugh-4.html

代碼: 選擇全部

默认情况下,Amazon S3 不会复制使用具有 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK) 的服务器端加密静态存储的对象。
外部實作影片
https://www.youtube.com/watch?v=d8bvvGEJU68
 
缺陷點

此選項沒有說明 KMS之間的實作方式,客戶端金鑰要如何同步到各Region

此題有一個關鍵問句,
while requiring the LEAST amount of operational overhead?



 
 
2311
Points: 344 
文章: 74
註冊時間: 2020年 3月 10日, 03:22

Re: [S3][加密]-S3資料加密與跨區使用 - encryption keys be generated at the company headquarters

文章 2311 »

(D) Configure S3 bucket to use Server-Side encryption with AWS KMS-Management Keys (SSE-KMS) with imported key met in both region.

論述

是因為題目裡面說要多Region存放資料,而D選項很紮實地指出,自製Key,並匯入進去KMS, 用SSE-KMS去做多區域的金鑰匯入。


參考文件



缺陷點

aws cli 的 import
https://docs.aws.amazon.com/cli/latest/ ... erial.html
https://docs.aws.amazon.com/zh_cn/kms/l ... erial.html

在部落格內有明確指出KMS-CMK是不能直接跨Region的。
https://aws.amazon.com/tw/blogs/securit ... ilability/
回覆文章