¿Debo usar una clave administrada por AWS KMS o una clave de KMS administrada por el cliente para cifrar mis objetos en Amazon S3?

3 minutos de lectura
0

Quiero usar el cifrado del lado del servidor con AWS Key Management Service (SSE-KMS) para los objetos almacenados en Amazon Simple Storage Service (Amazon S3). ¿Debo usar una clave de AWS KMS administrada por el cliente? ¿O debo usar la clave administrada por AWS KMS llamada aws/s3? ¿Cuál es la diferencia entre una y otra?

Resolución

AWS Key Management Service (AWS KMS) administra la clave de AWS KMS aws/s3 predeterminada, pero el usuario tiene pleno control sobre una clave administrada por el cliente.

Uso de la clave KMS aws/s3 predeterminada

Nota: El nombre de la clave de KMS es aws/s3 en la consola de Amazon S3. Sin embargo, no especifique ese nombre o ID si usa la interfaz de la línea de comandos de AWS (AWS CLI).

Considere usar la clave KMS aws/s3 predeterminada si:

  • EEstá cargando o accediendo a objetos de S3 mediante las entidades principales de AWS Identity and Access Management (IAM) que están en la misma cuenta de AWS que la clave de AWS KMS.
  • No quiere administrar las políticas de la clave de KMS.

Para cifrar un objeto mediante la clave de KMS aws/s3 predeterminada, defina el método de cifrado como SSE-KMS durante la carga, pero no especifique una clave:

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms

Nota: si recibe errores al ejecutar comandos de AWS CLI, asegúrese de que utiliza la versión más reciente de AWS CLI.

Usar una clave administrada por el cliente

Considere usar una clave administrada por el cliente si:

  • Desea crear, rotar, desactivar o definir controles de acceso para la clave.
  • Desea conceder acceso multicuenta a sus objetos de S3. Puede configurar la política de una clave administrada por el cliente para permitir el acceso desde otra cuenta.

Para cifrar un objeto mediante una clave administrada por el cliente, defina el método de cifrado como SSE-KMS durante la carga. A continuación, especifique la clave administrada por el cliente como la clave (—sse-kms-key-id):

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey

Para controlar el acceso a la clave administrada por el cliente, modifique la política de claves. Para más información sobre cómo crear una política de claves, consulte Creación de una política de claves.


Información relacionada

Protección de datos mediante el cifrado del lado del servidor

Cómo Amazon Simple Storage Service (Amazon S3) usa AWS KMS

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año