Uso del cifrado del servidor de doble capa con claves de AWS KMS (DSSE-KMS)
Al utilizar el cifrado del servidor de doble capa con claves de AWS Key Management Service (AWS KMS) (DSSE-KMS), se aplican dos capas de cifrado a los objetos cuando se cargan en Amazon S3. El DSSE-KMS le ayuda a cumplir con mayor facilidad los estándares de conformidad que requieren que aplique un cifrado de varias capas a sus datos y tenga el control total de sus claves de cifrado.
Al utilizar el DSSE-KMS con un bucket de Amazon S3, las claves de AWS KMS deben estar en la misma región que el bucket. Además, cuando se solicita el DSSE-KMS para el objeto, la suma de comprobación de S3 que forma parte de los metadatos del objeto se almacena cifrada. Para obtener más información acerca de las sumas de comprobación, consulte Comprobación de la integridad de objetos.
La utilización de DSSE-KMS y AWS KMS keys conlleva cargos adicionales. Para obtener más información sobre los precios de DSSE-KMS, consulte Conceptos de AWS KMS key en la Guía para desarrolladores de AWS Key Management Service y Precios de AWS KMS
nota
Las claves de bucket de S3 no son compatibles con DSSE-KMS.
Exigir el cifrado del servidor de doble capa con AWS KMS keys (DSSE-KMS)
Para exigir el cifrado del servidor de doble capa para todos los objetos en un bucket de Amazon S3 determinado, puede usar una política de bucket. Por ejemplo, la siguiente política de bucket deniega el permiso de carga de objeto (s3:PutObject) para todos, si la solicitud no incluye el encabezado x-amz-server-side-encryption, que solicita el cifrado del servidor con DSSE-KMS.
{ "Version":"2012-10-17", "Id":"PutObjectPolicy", "Statement":[{ "Sid":"DenyUnEncryptedObjectUploads", "Effect":"Deny", "Principal":"*", "Action":"s3:PutObject", "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*", "Condition":{ "StringNotEquals":{ "s3:x-amz-server-side-encryption":"aws:kms:dsse" } } } ] }
