Cifrado para AWS Snowball Edge - Guía para desarrolladores de AWS Snowball Edge

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado para AWS Snowball Edge

Cuando usas un Snowball Edge para importar datos a S3, todos los datos transferidos a un dispositivo están protegidos por cifrado SSL a través de la red. Para proteger los datos en reposo,AWS SnowballEdge utiliza el cifrado del lado del servidor (SSE).

Cifrado del lado del servidor enAWS SnowballBorde

AWS SnowballEdge admite el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3). El cifrado del lado del servidor consiste en proteger los datos en reposo, y SSE-S3 cuenta con un cifrado potente y multifactor para proteger sus datos en reposo en Amazon S3. Para obtener más información sobre SSE-S3, consulte.Protección de los datos con el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3)en elGuía del usuario de Simple Storage Service Service.

En la actualidad,AWS SnowballEdge no ofrece cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C). Sin embargo, es posible que desee utilizar ese tipo de SSE para proteger los datos que se han importado o incluso que ya lo utilice en los datos que desea exportar. En estos casos, tenga en cuenta lo siguiente:

  • Importación

    Si desea usar SSE-C para cifrar los objetos que ha importado a Amazon S3, debería considerar usar el cifrado SSE-KMS o SSE-S3 establecido como parte de la política de depósito de ese depósito. Sin embargo, si tiene que usar SSE-C para cifrar los objetos que ha importado a Amazon S3, tendrá que copiar el objeto dentro de su depósito para cifrarlo con SSE-C. A continuación se muestra un comando CLI de ejemplo para lograr esto:

    aws s3 cp s3://mybucket/object.txt s3://mybucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    o bien

    aws s3 cp s3://mybucket s3://mybucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive
  • Exportar— Si desea exportar objetos cifrados con SSE-C, primero copie esos objetos en otro depósito que no tenga cifrado del lado del servidor o que tenga SSE-KMS o SSE-S3 especificados en la política de depósitos de ese depósito.

Habilitación de SSE-S3 para los datos importados a Amazon S3 desde un dispositivo Snowball Edge

Utilice el siguiente procedimiento en la consola de administración de Amazon S3 para habilitar SSE-S3 para la importación de datos a Amazon S3. No es necesaria ninguna configuración en elConsola de administración de la familia de productos Snow de AWSo en el propio dispositivo Snowball.

Para habilitar el cifrado SSE-S3 para los datos que va a importar a Amazon S3, simplemente establezca las políticas de depósitos para todos los depósitos a los que vaya a importar datos. Actualice las políticas para denegar el permiso de objeto de carga (s3:PutObject) si la solicitud de carga no incluye el encabezado x-amz-server-side-encryption.

Para habilitar SSE-S3 para los datos importados a Amazon S3

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Elija el bucket al que desea importar datos en la lista de buckets.

  3. Elija Permissions (Permisos).

  4. Elija Bucket Policy (Política del bucket).

  5. En el Bucket policy editor (Editor de políticas de bucket), escriba la política siguiente. Sustituya todas las instancias de YourBucket en esta política por el nombre real de su bucket.

    { "Version": "2012-10-17", "Id": "PutObjPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
  6. Seleccione Save (Guardar).

Ha terminado de configurar el bucket de Amazon S3. Cuando los datos se importan en este depósito, se protegen mediante SSE-S3. Repita este procedimiento para los demás buckets, según sea necesario.