AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Por que não consigo fazer o carregamento de um arquivo grande para o Amazon S3 com a criptografia de chave do AWS KMS?

3 minuto de leitura

Eu quero fazer o carregamento de um arquivo grande para um bucket do Amazon Simple Storage Service (Amazon S3). Na minha solicitação de carregamento, incluí informações de criptografia com uma chave do AWS Key Management Service (AWS KMS). No entanto, recebo um erro de acesso negado.

Breve descrição

Confirme se você tem permissão para realizar ações kms:Decrypt na chave do AWS KMS usada para criptografar o objeto.

Para arquivos grandes, comandos aws s3 de alto nível com a AWS Command Line Interface (AWS CLI), SDKs da AWS e muitos programas de terceiros realizam automaticamente um carregamento fracionado. Para usar uma chave do AWS KMS para criptografar um carregamento fracionado, você deve ter permissões kms:GenerateDataKey e kms:Decrypt. As permissões kms:GenerateDataKey permitem que você inicie o carregamento. A permissão kms:Decrypt permite criptografar partes recém-carregadas com a chave usada nas partes anteriores do mesmo objeto.

Observação: para realizar um upload de várias partes com criptografia usando uma chave do AWS KMS, você deve ter o seguinte:

Permissão para as ações kms:Decrypt e kms:GenerateDataKey na chave.
Permissões para a ação kms:GenerateDataKey para a API CreateMultipartUpload.
Permissões para a ação kms:Decrypt nas APIs UploadPart e UploadPartCopy. Essas permissões são necessárias porque o Amazon S3 deve descriptografar e ler os dados das partes do arquivo criptografado antes que o upload de várias partes seja concluído.

Se seu usuário ou função do AWS Identity and Access Management (IAM) estiver na mesma conta da AWS que a chave KMS, você deverá ter essas permissões na política de chave. Se seu usuário ou função do IAM pertencer a uma conta diferente da chave KMS, você deverá ter as permissões na política de chave e no seu usuário ou função do IAM.

Resolução

Política de chave

Analise a política de chave do AWS KMS na exibição da política do Console de Gerenciamento da AWS.

Na política de chave, pesquise declarações em que o Amazon Resource Number (ARN) do seu usuário ou perfil do IAM esteja listado como entidade principal da AWS. O ARN está no seguinte formato: arn:aws:iam::111122223333:user/john.

Em seguida, verifique a lista de ações que suas declarações de perfil ou usuário do IAM permitem. Para carregamentos fracionados, a lista de ações permitidas deve incluir kms:Decrypt com SSE-KMS.

Por exemplo, a seguinte declaração em uma política de chave permite que o usuário John execute as ações kms:Decrypt e kms:GenerateDataKey:

{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:user/john"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}

Permissões do IAM

Para revisar suas permissões do IAM, abra o console do IAM e, em seguida, selecione seu usuário ou perfil do IAM.

Analise a lista de políticas de permissões que se aplicam ao seu usuário ou perfil do IAM. Certifique-se de que haja uma política aplicada que permita a você executar a ação kms:Decrypt na chave usada para criptografar o objeto:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey"
    ],
    "Resource": [
      "arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    ]
  }
}

O exemplo de declaração concede ao usuário do IAM acesso para executar kms:Decrypt e kms:GenerateDataKey na chave arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd.

Para obter instruções sobre como atualizar suas permissões do IAM, consulte Alterar as permissões para um usuário do IAM.

Informações relacionadas

Gerador de políticas da AWS

Criptografia de dados no Amazon S3

Tópicos: Storage
Tags: Amazon Simple Storage Service
Idioma: Português

Vídeos relacionados

Assista ao vídeo de Rajitha para saber mais (7:59)

AWS OFICIALAtualizada há 2 anos

Sem comentários

Conteúdo relevante

Red Dead Redemption (Game Mobile Android) Problema com a latência de assets no S3 e CloudFront para projeto de jogo
mainerrti
feita há 7 dias
Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 2 meses
GTA San andreas v2.11.277 (media) - Problema de acesso e corrupção de arquivo no S3 Bucket
tankaracutankme
feita há 9 dias
Free Fire Canibais Mobile (Game Android) - Problema com acesso a assets no S3 via CloudFront
chanegefrrt
feita há 5 dias
Poppy Playtime Chapter 4 Mobile (Game Android) - Problema de implantação no S3 e CloudFront
mainerrti
feita há 5 dias
Como posso usar as chaves assimétricas do AWS KMS para criptografar um arquivo usando OpenSSL?
AWS OFICIALAtualizada há 3 anos
Por que estou recebendo uma mensagem de erro de acesso negado quando faço upload de arquivos para o meu bucket do Amazon S3 que tem a criptografia padrão do AWS KMS?
AWS OFICIALAtualizada há 4 anos
Por que um upload falha quando uso o console do Amazon S3 para carregar um arquivo grande?
AWS OFICIALAtualizada há 4 meses
Como posso configurar meu bucket do S3 para armazenar somente objetos criptografados pela minha chave KMS?
AWS OFICIALAtualizada há um ano
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 4 meses