Proteger dados usando criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) - Amazon Simple Storage Service

Proteger dados usando criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3)

A criptografia no lado do servidor protege os dados em repouso. O Amazon S3 criptografa cada objeto com uma chave exclusiva. Como proteção adicional, ele criptografa a própria chave com uma chave mestra que é atualizada regularmente. A criptografia do lado do servidor do Amazon S3 usa uma das cifras de blocos mais fortes disponíveis para criptografar os dados, um padrão de criptografia avançada de 256 bits (AES-256).

Se você precisar de criptografia no lado do servidor para todos os objetos armazenados em um bucket, use uma política de bucket. Por exemplo, a política de bucket a seguir negará permissões para fazer upload de um objeto, a menos que a solicitação não inclua o cabeçalho x-amz-server-side-encryption a fim de solicitar criptografia no lado do servidor:

{ "Version": "2012-10-17", "Id": "PutObjPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
nota
  • A criptografia no lado do servidor criptografa somente os dados de objeto, não os metadados de objeto.

Suporte de API para criptografia no lado do servidor

Para solicitar criptografia no lado do servidor usando as APIs REST de criação de objeto, forneça o cabeçalho de solicitação x-amz-server-side-encryption. Para obter informações sobre as APIs REST, consulte Especificação da criptografia no lado do servidor usando a API REST.

As APIs do Amazon S3 a seguir são compatíveis com este cabeçalho:

  • Operações PUT — Especifique o cabeçalho de solicitação ao fazer upload de dados usando a API PUT. Para obter mais informações, consulte Objeto PUT.

  • Iniciar multipart upload — Especifique o cabeçalho na solicitação de inicialização ao fazer upload de objetos grandes usando a API de multipart upload. Para obter mais informações, consulte Iniciar Multipart Upload.

  • Operações COPY — ao copiar um objeto, você tem tanto um objeto de origem como um objeto de destino. Para obter mais informações, consulte Objeto PUT - Copiar.

nota

Ao usar uma operação POST para fazer upload de um objeto, em vez de fornecer o cabeçalho de solicitação, você fornece as mesmas informações nos campos de formulário. Para obter mais informações, consulte Objeto POST.

Os AWS SDKs também fornecem APIs de wrapper que você pode usar para solicitar criptografia no lado do servidor. Você também pode usar o Console de gerenciamento da AWS para fazer upload de objetos e solicitar a criptografia no lado do servidor.

Mais informações