对S3桶进行数据加密,最简单的方式就是通过AWS KMS自带的aws/s3托管方式
进去S3 bucket,然后Properties --> Edit default encryption
这样设定后,客户端访问,例如Cloudberry Explorer 需点选Use SSL即可正常上传或者下载文件
但是这种方式就无法授权第三方AWS账户来访问,因为KMS下这个系统自带的S3 key是无法编辑的,也就是无法添加其他AWS账户的访问
第二种方式是生成和使用一个自己的key来加密这些数据,步骤如下,进入KMS
添加这个key的管理员,我用自己的IAM用户名
然后可以添加其他AWS需要访问的账号信息
就会生成对应的policy
这个完成后,到S3 bucket属性去启用S3加密并选择这个自己创建的key
完成后,客户端,如果是用IAM用户访问,就需要把这个用户id添加到KMS 这个key的policy里面才可以,不然会提示拒绝访问
