Habilitar a criptografia de bucket padrão do Amazon S3 - Amazon Simple Storage Service

Habilitar a criptografia de bucket padrão do Amazon S3

Você pode definir o comportamento de criptografia padrão em um bucket do Amazon S3 para que todos os objetos sejam criptografados quando estiverem armazenados no bucket. Os objetos são criptografados usando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou chaves do AWS Key Management Service (AWS KMS).

Ao configurar a criptografia padrão usando o AWS KMS, você também pode configurar a chave de bucket do S3. Para obter mais informações, consulte Redução do custo do SSE-KMS com chaves de bucket do Amazon S3.

A criptografia padrão funciona com todos os buckets do Amazon S3, existentes e novos. Para criptografar todos os objetos armazenados em um bucket sem a criptografia padrão, você precisa incluir informações de criptografia com cada solicitação de armazenamento de objeto. Você também precisa configurar uma política de bucket do Amazon S3 para rejeitar solicitações de armazenamento que não incluem informações de criptografia.

Não há cobranças adicionais para usar a criptografia padrão para buckets do S3. As solicitações de configuração do recurso de criptografia padrão geram cobranças padrão de solicitação do Amazon S3. Para obter mais informações sobre preços, consulte Preços do Amazon S3. Para o armazenamento de chave SSE-KMS do KMS, as tarifas do AWS KMS são aplicáveis e estão listadas em Preços do AWS KMS.

Alterações feitas às observações antes de habilitar a criptografia padrão

Depois de habilitar a criptografia padrão para um bucket, o seguinte comportamento de criptografia será aplicado:

  • Não há alteração na criptografia dos objetos que existiam no bucket antes da ativação da criptografia padrão.

  • Quando você faz upload de objetos após a ativação da criptografia padrão:

    • Se seus cabeçalhos de solicitação PUT não incluírem informações de criptografia, o Amazon S3 usará as configurações de criptografia padrão do bucket para criptografar os objetos.

    • Se seus cabeçalhos de solicitação PUT incluírem informações de criptografia, o Amazon S3 usará as informações de criptografia da solicitação PUT para criptografar objetos antes de armazená-los no Amazon S3.

  • Se você usar a opção SSE-KMS na sua configuração de criptografia padrão, estará sujeito aos limites de RPS (solicitações por segundo) do AWS KMS. Para obter mais informações sobre os limites do AWS KMS e sobre como solicitar um aumento de limite, consulte Limites do AWS KMS.

Para habilitar a criptografia padrão em um bucket do Amazon S3

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Na lista Buckets, escolha o nome do bucket desejado.

  3. Escolha Properties (Propriedades).

  4. Em Default encryption (Criptografia padrão), escolha Edit (Editar).

  5. Para ativar ou desativar a criptografia do lado do servidor, escolha Enable (Ativar) ou Disable (Desabilitar).

  6. Para habilitar a criptografia no lado do servidor usando uma chave gerenciada pelo Amazon S3, em Encryption key type (Tipo de chave de criptografia), escolha Amazon S3 key (SSE-S3) (Chave do Amazon S3 (SSE-S3)).

    Para obter mais informações sobre como usar a criptografia no lado do servidor do Amazon S3 para criptografar seus dados, consulte Proteção de dados usando criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

  7. Para habilitar a criptografia no lado do servidor usando uma AWS KMS key, siga estas etapas:

    1. Em Encryption key type (Tipo de chave de criptografia), escolha AWS Key Management Service chave (SSE-KMS).

      Importante

      Se você usar a opção do AWS KMS na sua configuração de criptografia padrão, estará sujeito aos limites de RPS (solicitações por segundo) do AWS KMS. Para obter mais informações sobre as cotas do AWS KMS e como solicitar um aumento de cota, consulte Cotas.

    2. Em AWS KMS key (Chave do AWS KMS), escolha uma das seguintes opções:

      • AWS chave gerenciada (aws/s3))

      • Choose from your KMS root keys (Escolher de suas chaves-raiz do KMS) e selecione sua chave-raiz do KMS.

      • Enter KMS root key ARN (Inserir o ARN da chave-raiz do KMS) e insira o ARN de sua chave do AWS KMS.

      Importante

      Você só pode usar chaves do KMS habilitadas na mesma Região da AWS que o bucket. Quando você seleciona Choose from your KMS keys , (Escolher de suas chaves do KMS), o console do S3 lista somente 100 chaves do KMS por região. Se você tiver mais de 100 chaves do KMS na mesma região, será possível ver somente as primeiras 100 chaves do KMS no console do S3. Para usar uma chave do KMS que não esteja listada no console, escolha Custom KMS ARN (Personalizar o ARN do KMS) e insira o ARN da chave do KMS.

      Ao usar uma AWS KMS key para criptografia no lado do servidor no Amazon S3, você deve escolher uma chave do KMS simétrica. O Amazon S3 só oferece suporte a chaves do KMS simétricas e não a chaves do KMS assimétricas. Para obter mais informações, consulte Como usar chaves simétricas e assimétricas no AWS Key Management Service Guia do desenvolvedor.

      Para obter mais informações sobre como criar uma AWS KMS key, consulte Criação de chaves no Guia do desenvolvedor do AWS Key Management Service. Para obter mais informações sobre como usar o AWS KMS com o Amazon S3, consulte Proteger os dados usando criptografia no lado do servidor com chaves do KMS armazenadas no AWS Key Management Service (SSE-KMS).

  8. Para usar Chaves de bucket do S3, em Bucket Key (Chave de bucket), escolha Enable (Habilitar).

    Quando você configura seu bucket para usar a criptografia padrão com o SSE-KMS, você também pode habilitar a chave de bucket do S3. As chaves de bucket do S3 diminuem o tráfego de solicitações do Amazon S3 para o AWS KMS e reduzem o custo da criptografia. Para obter mais informações, consulte Redução do custo do SSE-KMS com chaves de bucket do Amazon S3.

  9. Selecione Save changes (Salvar alterações).

Esses exemplos mostram como configurar a criptografia padrão usando criptografia gerenciada pelo Amazon S3 (SSE-S3) ou criptografia do AWS KMS (SSE-KMS) com uma chave de bucket do S3.

Para obter mais informações sobre criptografia padrão, consulte Definir o comportamento padrão da criptografia para os buckets do Amazon S3. Para obter mais informações sobre o uso da AWS CLI para configurar a criptografia padrão, consulte put-bucket-encryption.

exemplo – Criptografia padrão com SSE-S3

Esse exemplo configura a criptografia de bucket padrão com criptografia gerenciada pelo Amazon S3.

aws s3api put-bucket-encryption --bucket bucket-name --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "AES256" } } ] }'

exemplo – Criptografia padrão com SSE-KMS usando uma chave de bucket do S3

Esse exemplo configura a criptografia de bucket padrão com o SSE-KMS usando uma chave de bucket do S3.

aws s3api put-bucket-encryption --bucket bucket-name --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "KMS-Key-ARN" }, "BucketKeyEnabled": true } ] }'

Use a operação de criptografia PUT Bucket da API REST para habilitar a criptografia padrão e definir o tipo de criptografia do lado do servidor de modo a usar SSE-S3 ou SSE-KMS.

Para obter mais informações, consulte PutBucketEncryption na Referência da API do Amazon Simple Storage Service.