Melhores práticas de criptografia para o Amazon S3

O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.

Para a criptografia do lado do servidor no Amazon S3, há três opções:

Criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3)
Criptografia do lado do servidor com AWS Key Management Service (SSE-KMS)
Criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C)

O Amazon S3 aplica criptografia no lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. O status de criptografia automática para a configuração de criptografia padrão do bucket S3 e para novos carregamentos de objetos está disponível em AWS CloudTrail logs, S3 Inventory, S3 Storage Lens, console Amazon S3 e como um cabeçalho adicional de resposta da API Amazon S3 em () e. AWS Command Line Interface AWS CLI AWS SDKs Para obter mais informações, consulte Perguntas frequentes sobre criptografia padrão.

Se a criptografia do lado do servidor for usada para criptografar um objeto no momento do upload, adicione o cabeçalho x-amz-server-side-encryption à solicitação para que o Amazon S3 criptografe o objeto usando SSE-S3, SSE-KMS ou SSE-C. Os possíveis valores para o cabeçalho x-amz-server-side-encryption são:

AES256, que instrui o Amazon S3 a usar chaves gerenciadas pelo Amazon S3.
aws:kms, que instrui o Amazon S3 a usar chaves AWS KMS gerenciadas.
Definir o valor como True ou False para SSE-C

Para obter mais informações, consulte o Defense-in-depth requisito 1: Os dados devem ser criptografados em repouso e durante o trânsito em Como usar políticas de bucket e aplicar Defense-in-Depth para ajudar a proteger seus dados do Amazon S3 (postagem AWS no blog).

Para a criptografia do lado do servidor no Amazon S3, há duas opções:

Uma chave armazenada em AWS KMS
Uma chave armazenada na aplicação

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

Em AWS Config, implemente a regra bucket-server-side-encryption AWS gerenciada habilitada para s3 para validar e aplicar a criptografia do bucket S3.
Implante uma política de bucket do Amazon S3 que valide que todos os objetos que estão sendo carregados sejam criptografados usando a condição s3:x-amz-server-side-encryption. Para obter mais informações, consulte o exemplo de política de bucket em Proteger dados usando SSE-S3 e as instruções em Adicionar uma política de bucket.
Permita que somente conexões criptografadas por HTTPS (TLS) usando a condição aws:SecureTransport nas políticas de bucket do S3. Para obter mais informações, consulte Qual política de bucket do S3 devo usar para cumprir a AWS Config regra s3-? bucket-ssl-requests-only
Em AWS Config, implemente a regra bucket-ssl-requests-only AWS gerenciada por s3 para exigir que as solicitações usem SSL.
Use uma chave gerenciada pelo cliente quando for necessário conceder acesso entre contas a objetos do Amazon S3. Configure a política de chaves para permitir o acesso de outra Conta da AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Secrets Manager

Amazon VPC