如何使用kms在NodeJS中获取/放置S3加密对象?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (128)

我有点问题。我没有多少lambda函数,如果我在本地创建脚本并运行它,所有功能都可以工作,但是如果我的代码在远程lambda上工作,我就会出错:访问被拒绝。

S3Service.prototype.PutFile = function (bucket, key, body, type, callback) {

var s3 = new this.AWS.S3({region: awsConfig.region,"signatureVersion":"v4"});

var params = {
    Bucket: bucket,
    Key: key,
    Body: body,
    ContentType: type,
    ACL: 'public-read-write',
    ServerSideEncryption: 'aws:kms',
    SSEKMSKeyId: awsConfig.kmsKeyId
};

s3.putObject(params, function (err, res) {

    if (err) {
        callback(new InternalServerError(err));
    } else {
        callback(null);
    }
});
};

S3Service.prototype.GetFile = function (params, callback) {
var s3 = new this.AWS.S3({ region: awsConfig.region,"signatureVersion":"v4"});

s3.getObject(params, function (err, data) {

    if (err) {
        callback(new InternalServerError(err));
    } else {

        callback(null, data.Body, data.ContentType);
    }
});
};

Bucket policy

var policy = {
    "Version": "2012-10-17",

    "Statement":[{
        "Sid":"DenyUnEncryptedObjectUploads",
        "Effect":"Deny",
        "Principal": "*",
        "Action":["s3:PutObject"],
        "Resource": "arn:aws:s3:::" + name + "/*",
        "Condition":{
                "StringNotEquals":{
                    "s3:x-amz-server-side-encryption":"aws:kms"
                }
           }
        }
    ]
};

生成KMS密钥:

 kms.createKey({ Description: 'qwe', KeyUsage: 'ENCRYPT_DECRYPT' }, function (err, data) {
       //var keyId = data.KeyMetadata.KeyId
});

如何正确地使用:ServerSideEncryption:‘AWS:kms’将对象加密到S3?

提问于
用户回答回答于

确保它具有以下效果:

"PolicyDocument": {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": [
      "s3:*"
    ],
    "Resource": [
      "arn:aws:s3:::s3bucket",
      "arn:aws:s3:::s3bucket/*"
    ]
  }, {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt",
      "kms:Encrypt"
    ],
    "Resource": ["*"]
  }]
}
用户回答回答于

这是解决方案:

  1. 转到S3控制台,打开存储并查看KMS密钥用于服务器端加密的用途。
  2. 转到Lambda控制台,打开你的lambda函数并查看执行角色是什么。
  3. 转到KMS控制台,从1.打开密钥,向下滚动到Key Users部分并从2添加执行角色。

扫码关注云+社区

领取腾讯云代金券