Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas de cifrado para Amazon S3
Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
Para el cifrado del servidor en Amazon S3, hay tres opciones:
Amazon S3 aplica el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) como nivel base de cifrado para cada bucket de Amazon S3. Desde el 5 de enero de 2023, todas las cargas de objetos nuevos a Amazon S3 se cifran automáticamente sin costo adicional y sin afectar al rendimiento. El estado de cifrado automático para la configuración de cifrado predeterminada del bucket S3 y para la carga de nuevos objetos está disponible en AWS CloudTrail los registros, S3 Inventory, S3 Storage Lens, la consola de Amazon S3 y como encabezado de respuesta de la API Amazon S3 adicional en AWS Command Line Interface (AWS CLI) y AWS SDKs. Para obtener más información, consulte Preguntas frecuentes del cifrado predeterminado.
Si se utiliza el cifrado del servidor para cifrar un objeto en el momento de la carga, agregue el encabezado x-amz-server-side-encryption a la solicitud a fin de que Amazon S3 cifre el objeto mediante SSE-S3, SSE-KMS o SSE-C. Los siguientes son los valores posibles para el encabezado x-amz-server-side-encryption:
-
AES256, que le indica a Amazon S3 que utilice las claves administradas por Amazon S3. -
aws:kms, que indica a Amazon S3 que utilice claves AWS KMS administradas. -
Establecimiento del valor en
TrueoFalsepara SSE-C
Para obtener más información, consulte el Defense-in-depth requisito 1: Los datos deben estar cifrados en reposo y durante el tránsito en How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data
Para el cifrado del cliente en Amazon S3, hay dos opciones:
-
Una clave almacenada en AWS KMS
-
Una clave que se almacena en la aplicación
Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:
-
En AWS Config, implemente la regla AWS administrada bucket-server-side-encryptionhabilitada para S3 para validar y aplicar el cifrado de buckets de S3.
-
Implemente una política de bucket de Amazon S3 que valide que todos los objetos que se cargan se encuentren cifrados mediante la condición
s3:x-amz-server-side-encryption. Para obtener más información, consulte el ejemplo de política de bucket en Protección de los datos mediante SSE-S3 y las instrucciones en Adición de una política de bucket. -
Solo permita conexiones cifradas sobre HTTPS (TLS) mediante la condición
aws:SecureTransporten las políticas de bucket de S3. Para obtener más información, consulta ¿Qué política de bucket de S3 debo usar para cumplir con la AWS Config regla s3-? bucket-ssl-requests-only -
En AWS Config, implemente la regla bucket-ssl-requests-only AWS administrada por s3 para exigir que las solicitudes usen SSL.
-
Utilice una clave administrada por el cliente si debe conceder acceso entre cuentas a sus objetos de Amazon S3. Configure la política de claves para que permita el acceso desde otra Cuenta de AWS.
