Proteção de dados e criptografia na classe S3 Express One Zone - Amazon Simple Storage Service
Criptografia do lado do servidorCriptografia em trânsitoSomas de verificação adicionaisExclusão de dados

Proteção de dados e criptografia na classe S3 Express One Zone

Para obter mais informações sobre como a classe S3 Express One Zone criptografa e protege os dados, consulte os tópicos a seguir.

Tópicos

Criptografia do lado do servidor

Todos os buckets de diretório têm criptografia configurada por padrão, e todos os novos objetos carregados em buckets de diretório são automaticamente criptografados em repouso. A criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) é a configuração de criptografia padrão para todos os buckets de diretório. Se quiser especificar um tipo de criptografia diferente, você poderá usar a criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS), definindo a configuração de criptografia padrão do bucket. Para ter mais informações sobre SSE-KMS em buckets de diretório, consulte Usar a criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) em buckets de diretório.

Recomendamos que a criptografia padrão do bucket use a configuração desejada e que você não a substitua em suas solicitações CreateSession ou de objetos PUT. Desse modo, os novos objetos são criptografados automaticamente com as configurações de criptografia desejadas. Para ter mais informações sobre os comportamentos de substituição de criptografia em buckets de diretório, consulte Specifying server-side encryption with AWS KMS for new object uploads.

A SSE-KMS com buckets de diretório difere da SSE-KMS em buckets de uso geral nos aspectos a seguir.

  • A configuração de SSE-KMS só comporta uma chave gerenciada pelo cliente por bucket de diretório durante a vida útil do bucket. Não há suporte para Chave gerenciada pela AWS (aws/s3). Além disso, depois que você especifica uma chave gerenciada pelo cliente para SSE-KMS, não é possível substituí-la pela configuração de SSE-KMS do bucket.

    É possível identificar a chave gerenciada pelo cliente que você especificou para a configuração SSE-KMS do bucket, da seguinte forma:

    • Faça uma solicitação de operação de API HeadObject para encontrar o valor de x-amz-server-side-encryption-aws-kms-key-id em sua resposta.

    Para usar uma nova chave gerenciada pelo cliente em seus dados, recomendamos copiar os objetos existentes em um novo bucket de diretório com uma nova chave gerenciada pelo cliente.

  • Em operações de API de endpoint de zona (nível de objeto), com exceção de CopyObject e UploadPartCopy, você autentica e autoriza solicitações por meio de CreateSession para ter baixa latência. Recomendamos que a criptografia padrão do bucket use a configuração desejada e que você não a substitua em suas solicitações CreateSession ou de objetos PUT. Desse modo, os novos objetos são criptografados automaticamente com as configurações de criptografia desejadas. Para criptografar novos objetos em um bucket de diretório com SSE-KMS, é necessário especificar SSE-KMS como a configuração de criptografia padrão do bucket de diretório com uma chave do KMS (especificamente, uma chave gerenciada pelo cliente). Dessa forma, quando uma sessão é criada para operações de API de endpoint de zona, novos objetos são automaticamente criptografados e descriptografados com chaves de SSE-KMS e de bucket do S3 durante a sessão. Para ter mais informações sobre os comportamentos de substituição de criptografia em buckets de diretório, consulte Specifying server-side encryption with AWS KMS for new object uploads.

    Nas chamadas de API de endpoint de zona (exceto CopyObject e UploadPartCopy), não é possível substituir os valores de configuração de criptografia (x-amz-server-side-encryption, x-amz-server-side-encryption-aws-kms-key-id, x-amz-server-side-encryption-context e x-amz-server-side-encryption-bucket-key-enabled) da solicitação CreateSession. Não é necessário especificar explicitamente esses valores de configuração de criptografia em chamadas de API de endpoint de zona. O Amazon S3 usará os valores das configurações de criptografia da solicitação CreateSession para proteger novos objetos no bucket de diretório.

    nota

    Quando você usa a AWS CLI ou os SDKs da AWS, para CreateSession, o token da sessão é atualizado automaticamente para evitar interrupções no serviço quando uma sessão expira. A AWS CLI ou os SDKs da AWS usam a configuração de criptografia padrão do bucket para a solicitação CreateSession. A substituição dos valores de configuração de criptografia não é aceita na solicitação CreateSession. Além disso, nas chamadas de API de endpoint de zona (exceto CopyObject e UploadPartCopy), não é possível substituir os valores de configuração de criptografia da solicitação CreateSession.

  • Com relação a CopyObject, para criptografar novas cópias de objetos em um bucket de diretório com SSE-KMS, é necessário especificar SSE-KMS como a configuração de criptografia padrão do bucket de diretório com uma chave do KMS (especificamente, uma chave gerenciada pelo cliente). Depois, ao especificar as configurações de criptografia do lado do servidor para novas cópias de objetos com SSE-KMS, é necessário garantir que a chave de criptografia seja a mesma chave gerenciada pelo cliente que você especificou para a configuração de criptografia padrão do bucket de diretório. Quanto a UploadPartCopy, para criptografar novas cópias de partes de objetos em um bucket de diretório com SSE-KMS, é necessário especificar SSE-KMS como a configuração de criptografia padrão do bucket de diretório com uma chave do KMS (especificamente, uma chave gerenciada pelo cliente). Não é possível especificar as configurações de criptografia do lado do servidor para novas cópias de partes do objeto com SSE-KMS nos cabeçalhos da solicitação UploadPartCopy. Além disso, as configurações de criptografia fornecidas na solicitação CreateMultipartUpload devem corresponder à configuração de criptografia padrão do bucket de destino.

  • As chaves de bucket do S3 estão sempre habilitadas para operações GET e PUT em um bucket de diretório e não podem ser desabilitadas. Não são aceitas chaves de bucket do S3 quando você copia objetos criptografados por SSE-KMS de buckets de uso geral para buckets de diretório, de buckets de diretório para buckets de uso geral ou entre buckets de diretório, por meio de CopyObject, de UploadPartCopy, da operação Copy em Operações em Lote ou de trabalhos de import. Nesse caso, o Amazon S3 faz uma chamada para o AWS KMS sempre que uma solicitação de cópia é feita para um objeto criptografado pelo KMS.

  • Ao especificar uma chave do AWS KMS gerenciada pelo cliente para criptografia no bucket de diretório, use somente o ID ou o ARN da chave. O formato de alias da chave do KMS não é aceito.

Os buckets de diretório não são compatíveis com criptografia de camada dupla do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (DSSE-KMS) ou com criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C).

Criptografia em trânsito

A classe S3 Express One Zone só pode ser acessada por meio de HTTPS (TLS).

A classe S3 Express One Zone usa endpoints de API regionais e zonais. Dependendo da operação de API do Amazon S3 usada, será necessário um endpoint regional ou zonal. Você pode acessar endpoints zonais e regionais por meio de um endpoint de nuvem privada virtual (VPC) do gateway. Não há cobrança adicional pelo uso de endpoints do gateway. Para saber mais sobre os endpoints de API regionais e zonais, consulte Redes para a classe S3 Express One Zone.

Somas de verificação adicionais

A classe S3 Express One Zone oferece a opção de escolher o algoritmo de soma de verificação usado para validar os dados durante o upload ou o download. Você pode selecionar um dos seguintes algoritmos de verificação de integridade de dados de hash seguro (SHA) ou de verificação de redundância cíclica (CRC): CRC32, CRC32C, SHA-1 e SHA-256. As somas de verificação baseadas em MD5 não são compatíveis com a classe de armazenamento S3 Express One Zone.

Para ter mais informações, consulte Práticas recomendadas adicionais de soma de verificação do S3.

Exclusão de dados

Você pode excluir um ou mais objetos diretamente da classe S3 Express One Zone usando o console do Amazon S3, os AWS SDKs, a AWS Command Line Interface (AWS CLI) ou a API REST do Amazon S3. Como todos os objetos nos buckets de diretório incorrem em custos de armazenamento, recomendamos que você exclua os objetos de que não precisa mais.

A exclusão de um objeto armazenado em um bucket de diretório também exclui recursivamente todos os diretórios pai, desde que esses diretórios pai não contenham nenhum objeto além do objeto que está sendo excluído.

nota

A exclusão de autenticação multifator (MFA) e a funcionalidade Versionamento do S3 não são compatíveis com a classe S3 Express One Zone.