我正在尝试Amazon S3用作具有加密功能的文件系统。
我成功地能够使用KMS加密密钥(服务器端加密)在 AWS S3 服务器上上传文件。请在下面找到工作代码:
对于加密:
private static final String AWS_KMS_KEY = "---KMS Key---"
private static final String BUCKET_NAME = "---bucket name---"
private static final String keyName = "---display key name---"
private static final String filePath = "---File Path---"
private static final String ACCESS_KEY_ID = "---aws accesskey---"
private static final String SECRET_ACCESS_KEY = "---aws secret key---"
AWSCredentials awsCredentials = new BasicAWSCredentials(ACCESS_KEY_ID, SECRET_ACCESS_KEY);
AmazonS3 s3Client = AmazonS3ClientBuilder.standard().withCredentials(new AWSStaticCredentialsProvider(awsCredentials))
.withRegion(Regions.US_WEST_2).withForceGlobalBucketAccessEnabled(true).build();
FileInputStream stream = new FileInputStream(filePath);
ObjectMetadata objectMetadata = new ObjectMetadata();
objectMetadata.setSSEAlgorithm(SSEAlgorithm.KMS.getAlgorithm());
PutObjectRequest putObjectRequest = new PutObjectRequest(amazonFileUploadLocationOriginal, keyName, stream, objectMetadata);
putObjectRequest.withCannedAcl(CannedAccessControlList.PublicRead);
putObjectRequest.withSSEAwsKeyManagementParams(new SSEAwsKeyManagementParams(AWS_KMS_KEY));
PutObjectResult result = s3Client.putObject(putObjectRequest);
我在使用服务器端解密检索文件时遇到问题。我想直接访问 aws url 以通过解密检索该文件。请在下面找到不起作用的代码:
对于对象读取:
没有 KMS 密钥的对象读取:
GetObjectRequest request = new GetObjectRequest(existingBucketName, amazonFileUploadLocationOriginal);
s3Client.getUrl(BUCKET_NAME, keyName);
上面的代码适用于没有 kms 加密密钥的读取对象,显示以下错误。
代码:无效参数
消息:使用 AWS KMS 托管密钥指定服务器端加密的请求需要 AWS 签名版本 4。
使用 KMS 密钥读取对象:
GeneratePresignedUrlRequest genreq = new GeneratePresignedUrlRequest(BUCKET_NAME, keyName, HttpMethod.GET)
.withSSEAlgorithm(SSEAlgorithm.KMS)
.withKmsCmkId(AWS_KMS_KEY);
URL puturl = s3Client.generatePresignedUrl(genreq);
上面的代码是用于带有 kms 加密密钥预签名 URL 的读取对象,它显示以下错误。
代码:SignatureDoesNotMatch
消息:我们计算的请求签名与您提供的签名不匹配。检查您的密钥和签名方法。
这是正确的做法吗?有什么建议吗?请帮忙。