Amazon Simple Storage Service
Guía para desarrolladores (Versión de API 2006-03-01)

Protección de datos con el cifrado del lado del servidor

El cifrado en el servidor se aplica a los datos en reposo, es decir: Amazon S3 cifra sus datos en el nivel de objeto; los escribe en los discos de sus centros de datos y los descifra para usted cuando obtiene acceso a estos. Siempre que autentique su solicitud y tenga permiso de acceso, no existe diferencia alguna en la forma de obtener acceso a objetos cifrados o sin cifrar. Por ejemplo, si comparte objetos con una URL prefirmada, esa URL funcionará igual para objetos cifrados y sin cifrar.

nota

No es posible aplicar tipos diferentes de cifrado en el servidor al mismo objeto simultáneamente.

Tiene tres opciones mutuamente exclusivas en función de cómo seleccione administrar las claves de cifrado:

  • Cifrado en el servidor con las claves de cifrado administradas por Amazon S3 (SSE-S3): cada objeto está cifrado con una clave exclusiva que utiliza un cifrado multifactor sólido. Como medida de seguridad adicional, cifra la propia clave con una clave maestra que rota regularmente. El cifrado del lado del servidor de Amazon S3 utiliza uno de los cifrados de bloques más seguros disponibles, Advanced Encryption Standard de 256 bits (AES-256), para cifras sus datos. Para obtener más información, consulte Protección de los datos con el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3).

  • Cifrado en el servidor con claves administradas por AWS KMS (SSE-KMS): similar a SSE-S3, pero con algunos beneficios adicionales y cargos adicionales por el uso de este servicio. Hay permisos separados para usar una clave sobre (una clave que protege la clave de cifrado de sus datos), que proporciona protección adicional frente al acceso no autorizado a sus objetos en S3. SSE-KMS le proporciona también un seguimiento de auditoría de cuándo se usaron sus claves y quién las usó. Además, tendrá la opción de crear y administrar las claves de cifrado usted mismo o emplear una clave predeterminada exclusiva para usted, el servicio que usa y la región en la que trabaja. Para obtener más información, consulte Proteger los datos utilizando cifrado en el servidor con claves administradas por AWS KMS (SSE-KMS).

  • Cifrado en el servidor con claves facilitadas por el cliente (SSE-C): usted administra las claves de cifrado y Amazon S3 administra tanto el cifrado, al escribir en los discos, como el descifrado, al obtener acceso a los objetos. Para obtener más información, consulte Protección de los datos con el cifrado del lado del servidor con claves de cifrado proporcionadas por el cliente (SSE-C).

nota

Al enumerar los objetos en su bucket, la API de listado devolverá una lista de todos los objetos, independientemente de si están cifrados.