レプリケーション先 S3 バケットでの復号について教えてください
困っていること
アカウント A の東京リージョンに存在する S3 バケットからアカウント B の大阪リージョンに存在する S3 バケットへレプリケーション設定する場合に、
アカウント A の東京リージョンに存在する S3 バケットが暗号化タイプ「Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3)」と設定されていたとしてもレプリケーション先の S3 バケットで問題なく複合可能か教えてください。
どう対応すればいいの?
はい、オブジェクトに対する権限を適切に設定いただくことによりクロスアカウントでの復号化を問題なく実行することができます。
SSE-S3 は 一意のキーで各オブジェクトを暗号化し、さらにそのキーそのものを定期的にローテーションされるキーを使って暗号化する機能です。以下ドキュメント記載の認識の基、クロスアカウントでのレプリケーションにも特に問題はなく、追加の手順としてカスタマーマネージドキーなどを設定いただく必要はございません。
また、クロスリージョンでのレプリケーションにつきましても同様に、問題なく実行することが可能です。
サーバー側の暗号化は、保管中のデータを保護します。Amazon S3 は、一意のキーで各オブジェクトを暗号化します。追加の保護措置として、S3 は定期的にローテーションされるキーを使ってキーそのものを暗号化します。Amazon S3 サーバー側の暗号化では、256 ビットの高度暗号化標準 Galois/Counter Mode (AES-GCM) を使用して、アップロードされたすべてのオブジェクトを暗号化します。
補足
適切な権限設定につきましては以下のドキュメントをご確認ください。