在這公告中����,Amazon提供客戶一個選項去使用AWS代管的加密功能去對S3信息做加解密的動作�,這也讓那些不想重寫應用程序的S3使用者松了一口氣。
一個重大的限制是��,這個解決方案沒有提供外部金鑰管理的功能�。金鑰跟S3認證相連結����,如果帳戶認證被入侵����,黑客就可以存取一切�。所以我能想到關于這功能的使用情境是,儲存信息在S3時可以滿足現行法規(guī)或政策的要求��,或是某人不使用你的帳號認證就侵入 AWS來竊取你的信息(最后這個例子非常的不可能…)�����。
從將文件夾儲存在服務器上這觀點來看���,新的S3服務器端加密功能跟Dropbox所用的方式一樣�����。唯一的差別是當使用S3服務器端加密功能時��,金鑰在Amazon手上�,而使用Dropbox時�,金鑰在Dropbox手上。這兩種都一樣���,客戶上傳的信息在供應商的服務器上是保持加密的�,而信息擁有者(客戶)無法控制這些加密金鑰。
而如果是用S3客戶端加密���,信息所有者可以控制金鑰�����,但是必須手動管理這些金鑰��。
希望以上這些有助于澄清Amazon上儲存模式所用的不同安全技術����。
