S3にファイルを保存するときに利用できる暗号化方式をまとめてみました。

• サーバーサイド暗号化
  • SSE-S3
  • SSE-KMS
  • SSE-C
• クライアントサイド暗号化
  • KMSのカスタマーマスターキーを利用する
  • クライアントのキーを利用して暗号化する

サーバーサイド暗号化

SSE-S3

AWSが管理する鍵をつかって暗号化する方法です。ユーザが鍵について意識する必要が無いのがメリットです。
AWSが提供するオプションです。

SSE-KMS

AWS KMSで管理されている鍵を使って暗号化します。SSE-S3と違い、ユーザごとに別の鍵を利用することも可能です。
鍵のアクセス権限の管理や、利用履歴などを確認することもできます。

SSE-C

ユーザが作成した鍵をAWSに送信し、AWSで暗号化する方式です。
AWSでは暗号化後、秘密鍵を破棄し、公開鍵のみを保持することで第三者の複合を防ぎます。

クライアントサイド暗号化

KMSのカスタマーマスターキーを利用する

単純にKMSのキーを利用して暗号化します。

クライアントのキーを利用して暗号化する

そもそもAWSの領域に入る前に自分で管理しているキーを利用して暗号化します。
この場合、暗号化された状態ですべての通信がおこなわれるのでよりセキュアな状態を保つことができます。