問題タブ [amazon-kms]

S3 の指定されたログ宛先に保存する前に、キー管理システムからの特定の CMK を使用してアクセス ログを暗号化するように S3 を構成することはできますか?

ログを暗号化して、ログ データにセキュリティ層を追加したいと考えています。

KMS を使用してボリュームを暗号化したいと考えています。作成時にそれを行う方法は知っていますが、既に作成されたボリュームでは解決策が見つからないようです。RDS ロジックは ebs にも適用されますか? 作成時にそれを行う可能性はありますか？

AWS Java SDK 1.10.69 では、インスタンスを起動し、インスタンスの EBS ボリューム マッピングを指定できます。

現在、ボリュームの暗号化を有効または無効にすることしかできず、ボリュームに使用する KMS カスタマー マスター キーを指定することはできないようです。

これを回避する方法はありますか？

KMS で暗号化された BLOB を格納する予定のデータベースがあります。一部のフィールドは暗号化されておらず (暗号化する必要があります)、一部のフィールドは既に KMS で暗号化されています。

生データを見ると、KMS で暗号化されたものはすべて似ているように見えます。理想的には、AWS KMS APIまたは AWS SDK にメソッドのようなものが必要ですisEncrypted()が、そうではないようです。

APIInvalidCiphertextExceptionからキャッチする以外に、自分のフィールドが暗号化されているかどうかをローカルで検出する良い方法はありますか?decrypt

AWS IAM で作成したキーを使用してアプリケーションで PDF ファイルを暗号化し、暗号化されたファイルを S3 にアップロードしようとしています。これを実現するために boto3 を使用します。ただし、暗号化せずにファイルを S3 にアップロードできました。暗号化を行う私の関数は次のとおりです。

次のエラーが表示されます。

KMS でファイルを暗号化するために正しい方法を使用しているかどうかわかりません。

オブジェクトを S3 にアップロードするために AWS KMS を設定したサーバー側の暗号化を使用しようとしています。

ドキュメントには、アップロードされたオブジェクトを暗号化する必要があると記載されています。

サーバー側の暗号化は、保管時のデータ暗号化に関するものです。つまり、Amazon S3 は、データセンターのディスクにデータを書き込むときにオブジェクトレベルでデータを暗号化し、アクセス時に復号化します。

KMSマスターキーをセットアップし、CLIを使用して次の方法でオブジェクトをアップロードしようとしました

アップロードが成功し、次の応答が表示されます

また、S3でファイルを確認すると、サーバー側で適切なマスターキーで暗号化されていることが詳細にわかります。

問題は、KMS マスター キーを使用する権限を持たないユーザーでファイルをダウンロードすると、暗号化する必要があるファイルを問題なく開いて読み取ることができることです。

注: サーバー側の暗号化なしですべてのアップロードを拒否する PutObject ポリシーもあり、これは正常に機能します。

サーバー側の暗号化を誤解しているのだろうか、それとも何か間違ったことをしているのだろうか? どんな助けでも大歓迎です。