かべぎわブログ

技術的なことについてかけたらいいな…

AWSCLIでS3のオブジェクトをサーバーサイドで暗号化するやりかたまとめ

f:id:kabegiwakun:20171101232004p:plain

サーバーサイドでS3のオブジェクトを暗号化して格納する方法をご紹介します。
(クライアントサイド暗号化はSDKなどで実装する必要があるのですこし敷居が高いです)

SSE-S3で暗号化する

SSE-S3はデフォルトの暗号化方式ですのでオプションで--sse AES256と指定してあげるだけでかんたんに暗号化することができます。

aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse AES256

以下のようにAES256の表記は省略することも可能です。

aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse

SSE-KMSで暗号化する

まず、KMSを使って鍵を作成する必要があります。
鍵の登録方法はこちら

www.kabegiwablog.com

SSE-KMSで暗号化する際はオプションで--sse aws:kmsというオプションを指定し、--sse-kms-keyidで利用するキーのIDを指定します。

aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse aws:kms --sse-kms-key-id aaaaaaaa-bbbb-cc12-3456-7890-dddddddddddd