Proteger os dados de tabela do S3 com criptografia - Amazon Simple Storage Service

Proteger os dados de tabela do S3 com criptografia

A proteção de dados refere-se à proteção enquanto eles estão em trânsito (à medida que são transferidos para e do Amazon S3) e em repouso (enquanto estão armazenados em discos em data centers do Amazon S3). A funcionalidade Tabelas do S3 sempre protege os dados em trânsito usando Transport Layer Security (1.2 e posterior) por meio de HTTPS. Para proteger dados em repouso em buckets de tabela do S3, você tem as seguintes opções:

Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)

Todos os buckets de tabela do Amazon S3 têm criptografia configurada por padrão. A opção padrão para a criptografia do lado do servidor é com as chaves gerenciadas pelo Amazon S3 (SSE-S3). Essa criptografia não tem custo e se aplica a todas as tabelas nos buckets de tabela do S3, a menos que você especifique outra forma de criptografia. Cada objeto é criptografado com uma chave exclusiva. Como uma proteção adicional, a SSE-S3 criptografa a própria chave com uma chave-raiz que alterna regularmente. A SSE-S3 usa uma das cifras de bloco mais fortes disponíveis, o padrão de criptografia avançada de 256 bits (AES-256), para criptografar os dados.

Criptografia no lado do servidor com chaves do AWS KMS (SSE-KMS)

Você pode optar por configurar buckets de tabela ou tabelas para usar a criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS). Os controles de segurança do AWS KMS podem ajudá-lo a satisfazer os requisitos de conformidade relacionados à criptografia. O SSE-KMS oferece maior controle sobre as chaves de criptografia, permitindo que você faça o seguinte:

  • Crie, visualize, edite, monitore, habilite ou desabilite, alterne e programe a exclusão de chaves do KMS.

  • Definir políticas que controlam como e por quem as chaves do KMS podem ser usadas.

  • Rastreie o uso de chaves no AWS CloudTrail para verificar se as chaves do KMS estão sendo usadas corretamente.

A funcionalidade Tabelas do S3 permite o uso de chaves gerenciadas pelo cliente no SSE-KMS para criptografar tabelas. Não é possível usar chaves gerenciadas pela AWS. Para ter mais informações sobre o uso do SSE-KMS para tabelas e buckets de tabela do S3, consulte Usar a criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) em buckets de tabela.