Amazon S3Criptografia padrão do para buckets do S3 - Amazon Simple Storage Service

Se fornecermos uma tradução da versão em inglês do guia, a versão em inglês prevalecerá caso haja qualquer conflito entre as versões. A tradução é fornecida com o uso de tradução por máquina.

Amazon S3Criptografia padrão do para buckets do S3

Amazon S3A criptografia padrão do fornece uma forma de configurar o comportamento de criptografia padrão para um bucket do S3. É possível configurar a criptografia padrão em um bucket para que todos os objetos novos sejam criptografados quando forem armazenados nele. Os objetos são criptografados usando a criptografia no lado do servidor com as chaves gerenciadas pelo Amazon S3 (SSE-S3) ou as chaves mestras de cliente (CMKs) armazenadas no AWS Key Management Service (AWS KMS).

Quando você usa a criptografia no lado do servidor, o Amazon S3 criptografa um objeto antes de salvá-lo no disco e o descriptografa quando você faz download dele. Para obter mais informações sobre como proteger dados usando a criptografia do lado do servidor e o gerenciamento de chaves de criptografia, consulte Proteção de dados usando criptografia no lado do servidor.

Como configurar a criptografia padrão do Amazon S3 para um bucket do S3?

Esta secção descreve como configurar Amazon S3 encriptação predefinida. Pode utilizar os sdks AWS, o Amazon S3 REST API, o AWS Command Line Interface (AWS CLI) ou o Amazon S3 para ativar a encriptação predefinida. A maneira mais fácil de configurar a criptografia padrão para um bucket do S3 é usar o Console de gerenciamento da AWS.

Para configurar a criptografia em um bucket, é possível usar qualquer um destes métodos:

Depois de habilitar a criptografia padrão para um bucket, o seguinte comportamento de criptografia será aplicado:

  • Não há alteração na criptografia dos objetos que existiam no bucket antes da ativação da criptografia padrão.

  • Quando você faz upload de objetos após a ativação da criptografia padrão:

    • Se o seu PUT os cabeçalhos de pedido não incluem informações de encriptação, Amazon S3 utiliza as definições de encriptação predefinidas do lote para encriptar os objetos.

    • Se o seu PUT os cabeçalhos de pedidos incluem informações de encriptação, Amazon S3 utiliza a informação de encriptação do PUT pedido para encriptar objetos antes de os armazenar Amazon S3.

  • Se você usar a opção SSE-KMS na sua configuração de criptografia padrão, estará sujeito aos limites de RPS (solicitações por segundo) do AWS KMS. Para mais informações sobre AWS KMS limites e como solicitar um aumento do limite, consulte AWS KMS limites.

Para encriptar o seu Amazon S3 com um único pedido, pode utilizar Amazon S3 operações em lote. Fornece Operações em lote do S3 com uma lista de objetos a operar, e Operações em lote liga para a respectiva API para executar a operação especificada. É possível usar a operação de cópia para copiar os objetos não criptografados existentes e gravar os novos objetos criptografados no mesmo bucket. Um único trabalho do Operações em lote pode realizar a operação especificada em bilhões de objetos contendo exabytes de dados.

nota

Amazon S3Os buckets do com criptografia de bucket padrão que usam SSE-KMS não podem ser usados como buckets de destino para Amazon S3Registrar em log o acesso ao servidor do . Somente a criptografia padrão SSE-S3 é suportada para buckets de destino do log de acesso do servidor.

Usar criptografia para operações entre contas

Esteja ciente do seguinte ao usar criptografia para operações entre contas:

  • O CMK gerido pela AWS (aws/s3) é utilizado quando um CAC ou um alias CMK não é fornecido a pedido, nem através da configuração de encriptação predefinida do balde.

  • Se estiver a carregar ou a aceder a objetos S3 utilizando AWS Identity and Access Management (IAMcenários que estão no mesmo AWS como o seu CMK, pode utilizar o AWS gerido CMK (aws/s3).

  • Utilize um CMK gerido pelo cliente se pretender conceder acesso entre contas cruzadas aos seus objetos S3. Pode configurar a política de um CMK gerido pelo cliente para permitir o acesso a partir de outra conta.

  • Se especificar sua própria CMK, você deve usar um ARN de chave da CMK totalmente qualificado. Ao usar um alias da CMK, lembre-se de que o KMS resolverá a chave na conta do solicitante. Isso pode resultar em dados criptografados com um CMK que pertence ao solicitante, e não ao administrador do bucket.

  • Tem de especificar uma chave que você (o solicitante) foi concedido Encrypt permissão para. Para mais informações, consulte Permite aos utilizadores principais utilizar um CMK para operações criptográficas.

Para obter mais informações sobre quando utilizar os clientes geridos pelo cliente e o AWS gerido CMK, consulte Devo utilizar um AWS AWS KMS-chave gerida ou um AWS AWS KMS chave para encriptar os meus objetos em Amazon S3.

Usar a criptografia padrão com a replicação

Depois de habilitar a criptografia padrão para um bucket de destino de replicação, o seguinte comportamento de criptografia será aplicado:

  • Se os objetos no bucket de origem não estiverem criptografados, os objetos de réplica no bucket de destino serão criptografados usando as configurações de criptografia padrão do bucket de destino. Isto resulta no ETag do objeto fonte sendo diferente do ETag do objeto de réplica. Você precisa atualizar os aplicativos que usam a ETag para acomodar essa diferença.

  • Se os objetos no bucket de origem forem criptografados usando SSE-S3 ou SSE-KMS, os objetos de réplica no bucket de destino usarão a mesma criptografia que a criptografia do objeto de origem. As configurações de criptografia padrão do bucket de destino não são usadas.

Para obter mais informações sobre como usar a criptografia padrão com SSE-KMS, consulte Replicar objetos criptografados.

Monitorizar encriptação predefinida com CloudTrail e CloudWatch

Pode rastrear pedidos de configuração de encriptação predefinidos através de AWS CloudTrail eventos. Os nomes de eventos API utilizados em CloudTrail os registos são PutBucketEncryption, GetBucketEncryption, e DeleteBucketEncryption. Também pode criar Eventos do Amazon CloudWatch com as operações do nível do balde S3 como o tipo de evento. Para mais informações sobre CloudTrail eventos, ver Como permitir o registo de nível de objetos para um balde S3 com CloudTrail Eventos de dados?

Pode usar CloudTrail registos para nível de objeto Amazon S3 ações para seguir PUT e POST pedidos para Amazon S3 para verificar se a encriptação predefinida está a ser utilizada para encriptar objectos quando chegar PUT pedidos não têm cabeçalhos de encriptação.

Quando o Amazon S3 criptografa um objeto usando as configurações de criptografia padrão, o log inclui o seguinte campo como o par de nome/valor: . "SSEApplied":"Default_SSE_S3" or "SSEApplied":"Default_SSE_KMS".

Quando Amazon S3 encriptar um objecto utilizando o PUT cabeçalhos de encriptação, o registo inclui o seguinte campo como o nome/par de valores: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS, ou "SSEApplied":"SSE_C". Para carregamentos multipeças, esta informação está incluída no InitiateMultipartUpload Pedidos API. Para mais informações sobre a utilização CloudTrail e CloudWatch, consulte Monitorar o Amazon S3.