Configuración del cifrado predeterminado - Amazon Simple Storage Service

Configuración del cifrado predeterminado

importante

Amazon S3 aplica ahora el cifrado del servidor con claves administradas por Amazon S3 (SSE-S3) como el nivel básico de cifrado para cada bucket de Amazon S3. Desde el 5 de enero de 2023, todas las cargas de objetos nuevos a Amazon S3 se cifran automáticamente sin costo adicional y sin afectar al rendimiento. El estado de cifrado automático para la configuración de cifrado predeterminada en el bucket de S3 y para cargas de objetos nuevos está disponible en registros de AWS CloudTrail, Inventario de S3, Lente de almacenamiento de S3, la consola de Amazon S3 y como encabezado de respuesta a la API de Amazon S3 adicional en AWS Command Line Interface y los SDK de AWS. Para obtener más información, consulte Preguntas frecuentes del cifrado predeterminado.

Los bucket de Amazon S3 tienen el cifrado de buckets activado de forma predeterminada y los objetos nuevos se cifran automáticamente mediante el cifrado del servidor con claves administradas de Amazon S3 (SSE-S3). Este cifrado se aplica a todos los objetos nuevos de sus buckets de Amazon S3 y no tiene ningún costo para usted.

Si necesita más control sobre las claves de cifrado, por ejemplo, administrar la rotación de claves y las concesiones de las políticas de acceso, puede optar por utilizar el cifrado del servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS) o el cifrado del servidor de doble capa con claves de AWS KMS (DSSE-KMS). Para obtener más información sobre SSE-KMS, consulte Especificación del cifrado del lado del servidor con AWS KMS (SSE-KMS). Para obtener más información sobre DSSE-KMS, consulte Uso del cifrado del servidor de doble capa con claves de AWS KMS (DSSE-KMS).

Si desea utilizar una clave de KMS propiedad de una cuenta diferente, primero debe tener permiso para utilizar la clave. Para obtener más información sobre los permisos entre cuentas para las claves de KMS, consulte Crear claves de KMS que otras cuentas puedan utilizar en la Guía para desarrolladores de AWS Key Management Service.

Al establecer el cifrado del bucket predeterminado en SSE-KMS, también puede configurar una clave de bucket de S3 para reducir los costos de las solicitudes de AWS KMS. Para obtener más información, consulte Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3.

nota

Si utiliza PutBucketEncryption para establecer a SSE-KMS el cifrado predeterminado de su bucket, deberá verificar que el ID de su clave KMS es correcto. Amazon S3 no valida el ID de clave KMS proporcionado en las solicitudes de PutBucketEncryption.

No se aplican cargos adicionales por usar el cifrado predeterminado de buckets de S3. Las solicitudes para configurar el comportamiento de cifrado predeterminado generan cargos por solicitudes de Amazon S3 estándar. Para obtener información acerca de los precios, consulte Precios de Amazon S3. Para SSE-KMS y DSSE-KMS, se aplican los cargos de AWS KMS que se muestran en Precios de AWS KMS.

No se admite el cifrado predeterminado del servidor con claves proporcionadas por el cliente (SSE-C).

Puede configurar el cifrado predeterminado de Amazon S3 para un bucket de S3 a través de la consola de Amazon S3, los SDK de AWS, la API de REST de Amazon S3 y la AWS Command Line Interface (AWS CLI).

Cambios para tener en cuenta antes de habilitar el cifrado predeterminado

Después de habilitar el cifrado predeterminado para un bucket, se aplica el siguiente comportamiento de cifrado:

  • No hay ninguna variación en el cifrado de los objetos que existían en el bucket antes de que se habilitara el cifrado predeterminado.

  • Cuando carga objetos después de habilitar el cifrado predeterminado:

    • Si los encabezados de las solicitudes PUT no incluyen información de cifrado, Amazon S3 utiliza la configuración de cifrado predeterminada del bucket para cifrar los objetos.

    • Si los encabezados de las solicitudes PUT incluyen información de cifrado, Amazon S3 utiliza la información de cifrado de la solicitud PUT para cifrar los objetos antes de guardarlos en Amazon S3.

  • Si utiliza la opción de SSE-KMS o DSSE-KMS para la configuración de cifrado predeterminado, se le aplicarán las cuotas de solicitudes por segundo (RPS) de AWS KMS. Para obtener más información acerca de las cuotas de AWS KMS y cómo solicitar un aumento de cuota, consulte Cuotas en la Guía para desarrolladores de AWS Key Management Service.

nota

Los objetos cargados antes de que se habilitara el cifrado predeterminado no se cifrarán. Para obtener más información sobre el cifrado de objetos existentes, consulte Establecer el comportamiento del cifrado predeterminado del lado del servidor para los buckets de Amazon S3.

Para configurar el cifrado predeterminado en un bucket de Amazon S3
  1. Inicie sesión AWS Management Console Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación izquierdo, elija Instancias.

  3. En la lista Buckets, elija el nombre del bucket en cuestión.

  4. Elija la pestaña Propiedades.

  5. En Cifrado predeterminado, elija Editar.

  6. Para configurar el cifrado, elija una de las siguientes opciones en Tipo de cifrado:

    • Cifrado del servidor con claves administradas por Amazon S3 (SSE-S3)

    • Cifrado del servidor con claves de AWS Key Management Service (SSE-KMS)

    • Cifrado del servidor de doble capa con claves de AWS Key Management Service (DSSE-KMS)

      importante

      Si utiliza las opciones SSE-KMS o DSSE-KMS para la configuración del cifrado predeterminado, se le aplicarán las cuotas de solicitudes por segundo (RPS) de AWS KMS. Para obtener más información acerca de las cuotas de AWS KMS y cómo solicitar un aumento de cuota, consulte Cuotas en la Guía para desarrolladores de AWS Key Management Service.

    Los buckets y los objetos nuevos se cifran de forma predeterminada con SSE-S3, a menos que especifique otro tipo de cifrado predeterminado para sus buckets. Para obtener más información acerca del cifrado predeterminado, consulte Establecer el comportamiento del cifrado predeterminado del lado del servidor para los buckets de Amazon S3.

    Para obtener más información sobre el uso del cifrado del lado del servidor de Amazon S3 para cifrar los datos, consulte Uso del cifrado del servidor con claves administradas por Amazon S3 (SSE-S3).

  7. Si elige el Cifrado del servidor con claves de AWS Key Management Service (SSE-KMS) o el Cifrado del servidor de doble capa con claves de AWS Key Management Service (DSSE-KMS), haga lo siguiente:

    1. En Clave de AWS KMS, especifique su clave de KMS de una de las siguientes maneras:

      • Para seleccionar de una lista de claves de KMS disponibles, marque Elija entre sus claves de AWS KMS keys y seleccione su clave de KMS de la lista de claves disponibles.

        En esta lista aparecen tanto la Clave administrada de AWS (aws/s3) como las claves administradas por el cliente. Para obtener más información acerca de las claves administradas por el cliente, consulte Claves de cliente y claves de AWS en la Guía para desarrolladores de AWS Key Management Service.

      • Para introducir el ARN de la clave de KMS, elija Introducir el ARN de la AWS KMS key e introduzca el ARN de la clave de KMS en el campo que aparece.

      • Para crear una nueva clave administrada por el cliente en la consola de AWS KMS, elija Crear una clave de KMS.

        Para obtener más información acerca de cómo crear una AWS KMS key, consulte Creación de claves en la AWS Key Management Service Guía para desarrolladores.

      importante

      Solo puede utilizar las claves de KMS que estén habilitadas en la misma Región de AWS que el bucket. Cuando elige Choose from your KMS master keys (Elegir entre las claves raíz de KMS), la consola de S3 solo muestra 100 claves de KMS por región. Si tiene más de 100 claves de KMS en la misma región, solo puede ver las primeras 100 claves de KMS en la consola S3. Para utilizar una clave de KMS que no aparezca en la consola, elija Introducir el ARN de AWS KMS key y escriba el ARN de la clave de KMS.

      Cuando utilice una AWS KMS key para el cifrado en el lado del servidor en Amazon S3, debe elegir una clave de cifrado de KMS simétrica. Amazon S3 solo admite claves KMS de cifrado simétricas. Para obtener más información sobre estas claves, consulte Symmetric encryption KMS keys (Claves de KMS de cifrado simétricas) en la Guía para desarrolladores de AWS Key Management Service.

      Para obtener más información sobre el uso de SSE-KMS con Amazon S3, consulte Uso del cifrado del servidor con claves de AWS KMS (SSE-KMS). Para obtener más información sobre el uso de DSSE-KMS, consulte Uso del cifrado del servidor de doble capa con claves de AWS KMS (DSSE-KMS).

    2. Si configura el bucket para que use el cifrado predeterminado con SSE-KMS, también puede habilitar una clave de bucket de S3. Las claves de bucket de S3 reducen el costo del cifrado al reducir el tráfico de solicitudes de Amazon S3 a AWS KMS. Para obtener más información, consulte Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3.

      Para utilizar las claves de bucket de S3, en Clave de bucket, seleccione Habilitar.

      nota

      Las claves de bucket de S3 no son compatibles con DSSE-KMS.

  8. Elija Guardar cambios.

En estos ejemplos se muestra cómo configurar el cifrado predeterminado con SSE-S3 o SSE-KMS con una clave de bucket de S3.

Para obtener más información acerca del cifrado predeterminado, consulte Establecer el comportamiento del cifrado predeterminado del lado del servidor para los buckets de Amazon S3. Para obtener más información acerca del uso de la AWS CLI para configurar el cifrado predeterminado, consulte put-bucket-encryption.

ejemplo — Cifrado predeterminado con SSE-S3

En este ejemplo se configura el cifrado de bucket predeterminado con las claves administradas de Amazon S3.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "AES256" } } ] }'
ejemplo — Cifrado predeterminado con SSE-KMS usando una clave de bucket de S3

En este ejemplo se configura el cifrado de bucket predeterminado con SSE-KMS mediante una clave de bucket de S3.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "KMS-Key-ARN" }, "BucketKeyEnabled": true } ] }'

Utilice la operación de la API de REST PutBucketEncryption para habilitar el cifrado predeterminado y establecer el tipo de cifrado del servidor para usar SSE-S3, SSE-KMS o DSSE-KMS.

Para obtener más información, consulte PutBucketEncryption en la Referencia de la API de Amazon Simple Storage Service.