S3中的服务器端加密文件是否被转换到AWS冰川？

Question

问:服务器端加密(使用S3托管密钥或KMS托管密钥)文件是否被转换到冰川？如果是，它们是否使用S3或KMS密钥解密，然后再次使用Glacier的内部密钥加密，因为Glacier中的所有对象都使用内部AES 256密钥加密？

问题陈述:我在S3中有一些使用KMS托管密钥加密的文件。我有一个生命周期规则存档到冰川1天后，但文件仍然显示存储类为“标准”，即使在3天后。

Answer 1

我查看了AWS文档和论坛，但没有找到这个问题的直接答案。

但我发现，即使是CRR也不处理SSE和SSE加密对象(在“未复制的内容”部分下)。因此，我假设转换规则也不能处理SSE和SSE加密文件，因为Glacier只支持AES-256加密。

AWS复制文档链接

Answer 2

文档中没有任何东西表明来自生命周期策略的存储类更改与SSE不兼容。

在存档中，S3对象按原样(以SSE加密形式)移动到Glacier，再由Glacier加密。查看线程RSS源查看线程RSS提要 - susan@aws https://forums.aws.amazon.com/thread.jspa?messageID=786916

S3显然不会解密和重新加密，而只是简单地再次加密对象的加密版本，所以SSE也应该是兼容的。

请注意，生命周期策略需要最多24小时才能真正开始转换对象，而新对象将在对象初始创建后24到48小时之间匹配"1天“规则。

如果有大量的对象，您可能需要使用aws来尝试查看是否有任何对象已经迁移。

aws s3api list-objects [options] --output-format=text | grep GLACIER

Answer 3

我的生命周期规则有特定于文件名的前缀，如‘com/文件夹-name/Daily-’。我创建了新的生命周期规则，以便它们以最后一个父文件夹名和尾随斜杠‘com/文件夹-name/’结束。

在此更改之后，等待24+时间，未加密和SSE加密文件都被转换到Amazon。

在转换之后，我确实理解它们都是在内部使用Glacier托管密钥加密的，就像这个FAQ中记录的那样。https://aws.amazon.com/glacier/faqs/#security。