S3 암호화 4가지 방법

아래의 4 가지 방법을 이용해서 S3 버킷에 있는 객체들을 암호화할 수 있다.

 

1. 서버 측 암호화 (SSE / Server-Side Encryption)

• 1) SSE-S3 (SSE with amazon s3 managed keys)
  • s3 내 관리 키 이용 서버 측 암호화
    • AWS 가 처리, 관리
    • AWS 가 키 소유
    • 사용자는 키 소유 불가
    • AES-256 <- header
  • 버킷과 객체에 대해 기본값으로서 활성화
    • 사용자는 올바른 헤더를 써서 파일을 업로드
    • S3 는 S3 가 보유한 키와 그 객체를 짝지어준다
    • 그런 다음 키와 객체를 혼합하여 암호화

 

 

• 2) SSE KMS (Key Management Service)
  • KMS 키를 이용하여 암호화 키 관리
  • S3 서비스가 보유한 키에 의존하지 않음
  • 사용자가 Key 를 관리
  • 누군가 KMS 에서 키 사용할 때, CloudTrail 에 Log 가 뜸
    • "x-amz-server-side-encryption":"aws:kms"

 

• 3) SSE C (Customer-Provided Keys)
  • 고객이 제공한 키를 사용
  • S3 는 암호화 키를 저장하지 않음
    • 사용 후에는 폐기됨

 

2. 클라이언트 측 암호화 (Client-Side Encryption)

• Client 가 직접 데이터를 암호화한 다음에 Amazon S3 에 전송한다는 개념
• 데이터 복호화는 S3 외부의 CLient 측에서 이루어짐
• 클라이언트가 키와 암호화 사이클을 스스로 한다