Seguridad - Amazon EKS
Seguridad y conformidad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad

Seguridad y conformidad

Considere S3 con KMS para un almacenamiento compatible con el cifrado

A menos que especifique lo contrario, todos los depósitos de S3 utilizan SSE-S3 de forma predeterminada para cifrar los objetos en reposo. Sin embargo, puede optar por configurar los buckets para que utilicen el cifrado del lado del servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS) en su lugar. Los controles de seguridad de AWS KMS pueden ayudarle a cumplir los requisitos de conformidad relacionados con el cifrado. Puede usar estas claves de KMS para proteger sus datos en buckets de Amazon S3. Cuando utiliza el cifrado SSE-KMS con un bucket de S3, las claves de AWS KMS deben estar en la misma región que el bucket.

Configure sus buckets de uso general para utilizar las claves de bucket de S3 para SSE-KMS, a fin de reducir los costes de las solicitudes de AWS KMS hasta en un 99 por ciento al reducir el tráfico de solicitudes de Amazon S3 a AWS KMS. Las claves de bucket de S3 siempre están habilitadas GET y PUT funcionan en un bucket de directorio, por lo que no se pueden deshabilitar.

Tenga en cuenta que Amazon S3 Express One Zone utiliza un tipo específico de depósito denominado depósito de directorio S3. Los depósitos de directorio son exclusivamente para la clase de almacenamiento S3 Express One Zone y permiten un acceso de alto rendimiento y baja latencia. Para configurar el cifrado de bucket predeterminado en un bucket de directorio de S3, utilice la AWS CLI y especifique el ARN o ID de clave de KMS, no el alias, como en el siguiente ejemplo:

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

Asegúrese de que la función de IAM de su pod EKS tenga permisos de KMS (por ejemplokms:Decrypt) para acceder a objetos cifrados. Pruébelo en un entorno provisional cargando un modelo de muestra en el depósito, montándolo en un módulo (p. ej., mediante el controlador CSI de Mountpoint S3) y verificando que el módulo pueda leer los datos cifrados sin errores. Audite los registros a través de AWS CloudTrail para confirmar el cumplimiento de los requisitos de cifrado. Consulte la documentación de KMS para obtener información sobre la configuración y la administración de claves.