Proteção de dados usando criptografia no lado do servidor - Amazon Simple Storage Service

Proteção de dados usando criptografia no lado do servidor

A criptografia no lado do servidor é a criptografia de dados em seu destino pelo aplicativo ou serviço que os recebe. O Amazon S3 criptografa os dados no nível de objeto enquanto os grava em discos em seus datacenters e os descriptografa quando você os acessa. Contanto que você autentique sua solicitação e tenha permissões de acesso, não há diferença na forma de acesso aos objetos criptografados ou não criptografados. Por exemplo, se você compartilhar seus objetos usando um pre-signed URL, esse URL funcionará da mesma forma para objetos criptografados e não criptografados. Além disso, quando você lista objetos no bucket, a API de lista retorna uma lista de todos os objetos, independentemente de estarem ou não criptografados.

nota

Não é possível aplicar diferentes tipos de criptografia de servidor ao mesmo objeto simultaneamente.

Você tem três opções mutuamente exclusivas, dependendo de como escolhe gerenciar as chaves de criptografia.

Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)

Quando usar criptografia no lado do servidor com as chaves gerenciadas pelo Amazon S3 (SSE-S3), cada objeto será criptografado com uma chave exclusiva. Como proteção adicional, ele criptografa a própria chave com uma chave mestra que é atualizada regularmente. A criptografia do lado do servidor do Amazon S3 usa uma das cifras de blocos mais fortes disponíveis, um padrão de criptografia avançada de 256 bits (AES-256), para criptografar seus dados. Para obter mais informações, consulte Proteger dados usando criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Criptografia do lado do servidor com chaves mestras do cliente (CMKs) armazenadas no AWS Key Management Service (SSE-KMS)

A criptografia no lado do servidor com chaves mestras de cliente (CMKs) armazenadas no AWS Key Management Service (SSE-KMS) é semelhante a SSE-S3, mas com alguns benefícios adicionais e cobranças para usar esse serviço. Há outras permissões para uso de uma CMK que fornece maior proteção contra acesso não autorizado de seus objetos no Amazon S3. O SSE-KMS também fornece uma trilha de auditoria que mostra quando a CMK foi usada e por quem. Além disso, é possível criar e gerenciar CMKs gerenciadas pelo cliente ou usar CMKs gerenciadas pela AWS que são exclusivas para você, para o seu serviço e para a sua região. Para obter mais informações, consulte Proteger os dados usando criptografia no lado do servidor com CMKs armazenadas no AWS Key Management Service (SSE-KMS).

Criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C)

Com a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C), você gerencia as chaves de criptografia e o Amazon S3 gerencia a criptografia, conforme grava em discos; e a descriptografia, ao acessar os objetos. Para obter mais informações, consulte Proteger dados usando a criptografia de servidor com chaves de criptografia fornecidas pelo cliente (SSE-C).