AWS S3: SSE-S3信封加密吗？

Question

以下是服务器端使用S3托管密钥加密的加密流程(SSE-S3)

​

​

(这张照片来自奥赖利)

1. 客户端选择他们的对象上传到S3，并在此过程中指示SSE-S3的加密机制。
2. 然后，S3控制对象，并使用S3生成的明文数据密钥对其进行加密。结果是对象的加密版本，然后存储在所选的S3桶中。
3. 然后用S3主密钥对用于加密对象的明文数据密钥进行加密，从而得到密钥的加密版本。现在加密的密钥也存储在S3上，并且与加密的数据对象有关联。最后，从S3中的内存中删除明文数据键。

如您所见，SSE-S3使用唯一的数据密钥来加密对象，而不是主密钥。

我听说SSE是信封加密，我的问题是：

SSE-S3信封加密也是吗？

参考

1. 堆栈溢出: AWS KMS是否使用信封加密？
2. AWS KMS包络加密

Answer 1

AWS加密-在Rest(服务器端加密)使用包络加密，无论使用什么密钥。不仅仅是对于S3，对于AWS的每一项服务。这里是一个很好的博客。

唯一的区别是谁管理数据密钥和加密密钥。

• SSE-S3都由AWS管理。
• SSE-KMS我们管理CMK，其中AWS管理数据密钥。让我们更多的控制旋转，进入等。
• SSE我们可以同时管理加密密钥和数据密钥(我们可以选择不使用数据密钥，而是使用相同的密钥)，我们提供了数据密钥和算法，AWS为我们加密，我们需要跟踪哪个密钥用于哪个对象。