发布于: Feb 19, 2021
Amazon Config 现在支持使用您提供的 Amazon Key Management Service (KMS) 密钥或别名 Amazon 资源名称 (ARN) 来加密传输到 Amazon Simple Storage Service (S3) 存储桶的数据。默认情况下,Amazon Config 会将配置历史记录和快照文件传输到您的 S3 存储桶,并使用 S3 AES-256 服务器端加密 (SSE-S3) 来加密静态数据。此次发布之后,如果您向 Amazon Config 提供 KMS 密钥或别名 ARN,则 Amazon Config 将使用该 KMS 密钥而不是使用 AES-256 加密。
要开始使用此功能,请创建一个 KMS 密钥,然后为其配置 GenerateDataKey 和 Decrypt 权限。然后,您可以使用 S3 KMS 密钥、ARN 或别名 ARN 调用 PutDeliveryChannel API,从而将 KMS 密钥提供给 Amazon Config。传输到 S3 存储桶的对象将使用 KMS CMK,通过服务器端加密来进行加密。如果您没有向 Amazon Config 提供 KMS 密钥或别名 ARN,则 Amazon Config 将默认使用 AES-256 加密来加密传输的数据。
由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域已经支持在 Amazon Config 使用的 S3 存储桶上进行 KMS 加密,且不会产生额外的成本。有关 Amazon Config 的更多信息,请参阅 Amazon Config 网页。有关 Amazon Key Management Service (Amazon KMS) 的更多信息,请参阅 Amazon Key Management Service (KMS) 网页。