Protección de los datos de la tabla de S3 con cifrado - Amazon Simple Storage Service

Protección de los datos de la tabla de S3 con cifrado

La protección de datos se refiere a proteger datos mientras están en tránsito (al desplazarlos desde y hacia Amazon S3) y en reposo (almacenados en discos en centros de datos de Amazon S3). Las tablas de S3 siempre protegen los datos en tránsito mediante seguridad de la capa de transporte (1.2 y versiones posteriores) a través de HTTPS. Para proteger datos en reposo en buckets de tablas de S3, tiene las siguientes opciones:

Cifrado del servidor con claves administradas por Amazon S3 (SSE-S3)

Todos los buckets de tablas de Amazon S3 tienen el cifrado configurado de forma predeterminada. La opción predeterminada para el cifrado del lado del servidor son las claves administradas de Amazon S3 (SSE-S3) Este cifrado no tiene ningún costo para usted y se aplica a todas las tablas de los buckets de tablas de S3 a menos que especifique otra forma de cifrado. Cada objeto se cifra con una clave única. Como medida de seguridad adicional, SSE-S3 cifra la propia clave con una clave raíz que cambia periódicamente. SSE-S3 utiliza uno de los cifrados de bloques más seguros disponibles, Advanced Encryption Standard de 256 bits (AES-256), para cifrar sus datos.

Cifrado del servidor con claves de AWS KMS (SSE-KMS)

Tiene la opción de elegir configurar buckets de tablas o tablas para utilizar el cifrado del servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS). Los controles de seguridad de AWS KMS pueden ayudarlo a cumplir los requisitos de conformidad relacionados con el cifrado. SSE-KMS le proporciona un mayor control sobre las claves de cifrado, ya que le permite hacer lo siguiente:

  • Cree, vea, edite, supervise, habilite o desactive, rote y programe la eliminación de claves de KMS.

  • Defina las políticas que controlan cómo y quién puede utilizar las claves de KMS.

  • Realice un seguimiento del uso de las claves en AWS CloudTrail para comprobar que las claves de KMS se utilizan correctamente.

Las tablad de S3 admiten el uso de claves administradas por el cliente en SSE-KMS para cifrar tablas. No se admiten las claves administradas por AWS. Para obtener más información sobre el uso de SSE-KMS para tablas y buckets de tablas de S3, consulte Uso del cifrado del servidor con claves de AWS KMS (SSE-KMS) en buckets de tablas.