AWS S3 設(shè)置 Bucket Policy 強(qiáng)制加密

AWS S3在上傳和下載的時(shí)候，默認(rèn)會(huì)使用TLS的方式進(jìn)行加密和解密。這個(gè)具體是在哪里配置的呢？

最簡(jiǎn)單的方式是在S3里面，當(dāng)我們創(chuàng)建一個(gè)新的Bucket的時(shí)候，我們可以在console上選擇默認(rèn)加密，如下面所示

默認(rèn)可以選擇SSE-S3或者SSE-KMS服務(wù)加密。后者安全性更高 不過會(huì)有一些額外費(fèi)用。

如果在創(chuàng)建的時(shí)候沒有進(jìn)行選擇，我們還可以通過設(shè)置Bucket Policy來進(jìn)行加密。在AWS里面，所有的服務(wù)都是API，因此所有的設(shè)定都可以轉(zhuǎn)換成頭文件里面對(duì)應(yīng)的參數(shù)。比如說，我們可以通過禁止頭文件里面沒有加密參數(shù)的請(qǐng)求進(jìn)行上傳操作。

具體操作如下

在對(duì)應(yīng)的bucket里面， 進(jìn)入Permission - Bucket Policy - 最下面選擇 Policy Generator

基本設(shè)置

Type of Policy:S3 Bucket Policy
Effect:Deny
Principal:
AWS Service: Amazon S3
Actions: PutObject
ARN: arn:aws:s3:::XXXXXX
Condition:stringnotequals
key:s3-x-amz-server-side-encryption
value:aws:kms

生成器會(huì)自動(dòng)生成下列配置文檔 拷貝到對(duì)應(yīng)的editor里面。 咦 居然報(bào)錯(cuò)！

解決方法很簡(jiǎn)單，需要在bucket后面添加一個(gè)通配符。這個(gè)應(yīng)該是aws的一個(gè)bug

點(diǎn)擊保存就行了。

現(xiàn)在來測(cè)試一下。

首先上傳一個(gè)文件，選擇不加密

結(jié)果失敗

重新上傳一次，這次選擇 AWS KMS master-key

上傳成功！