暗号化
バケットに保存されたオブジェクトを自動的に暗号化する機能があります。
暗号化タイプは2種類あります
SSE-S3
- s3がデータ暗号化キーとマスター暗号化キーを管理を管理します
- キーに対する個別アクセス制限は出来ず、当該AWSアカウントID以外の拒否のみとなります
- CloudTrailのログには残りません
- 追加料金は発生しません
SSE-KMS
- 暗号化キーの作成および管理が自分で出来る
- AWSアカウントのリージョンごとに作成されるデフォルトサービスキーを使用することが出来る
- KMS に対するAPIコールを行うため、CloudTrailを残すことが可能
- KMSを利用するため、KMSの費用が発生
勉強後イメージ
監査に残さないといけない だったり、
自分で鍵を管理するためにはKMSで管理するべきなのかー
とりあえずで暗号化しないといけない だけだったらs3のデフォルト暗号化でよいのかな?