Protección y cifrado de datos en S3 Express One Zone - Amazon Simple Storage Service
Cifrado en el servidorCifrado en tránsitoSumas de comprobación adicionalesEliminación de datos

Protección y cifrado de datos en S3 Express One Zone

Para obtener más información sobre cómo S3 Express One Zone cifra y protege sus datos, consulte los siguientes temas.

Temas

Cifrado en el servidor

Todos los buckets de directorio tienen el cifrado configurado de forma predeterminada y todos los objetos nuevos cargados en buckets de directorio se cifran automáticamente en reposo. El cifrado del servidor con claves administradas por Amazon S3 (SSE-S3) es la configuración de cifrado predeterminada para cada bucket de directorio. Si desea especificar un tipo de cifrado diferente, puede utilizar el cifrado del servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS), mediante el establecimiento de la configuración de cifrado predeterminada del bucket. Para obtener más información acerca de SSE-KMS en buckets de directorio, consulte Uso del cifrado del servidor con claves de AWS KMS (SSE-KMS) en buckets de directorio.

Le recomendamos que el cifrado predeterminado del bucket utilice la configuración de cifrado deseada y que no invalide el cifrado predeterminado del bucket en las solicitudes de CreateSession o solicitudes de objetos PUT. A continuación, los objetos nuevos se cifran automáticamente con la configuración de cifrado deseada. Para obtener más información sobre los comportamientos de invalidación del cifrado en los buckets de directorio, consulte Especificación del cifrado del servidor con AWS KMS para cargas de objetos nuevos.

SSE-KMS con buckets de directorio se diferencia de SSE-KMS en los buckets de uso general en los siguientes aspectos.

  • La configuración de SSE-KMS solo admite 1 clave administrada por el cliente por bucket de directorio durante la vida útil del bucket. La Clave administrada de AWS (aws/s3) no es compatible. Además, después de especificar una clave administrada por el cliente para SSE-KMS, no puede invalidar la clave administrada por el cliente para la configuración de SSE-KMS del bucket.

    Puede identificar la clave administrada por el cliente que especificó para la configuración de SSE-KMS del bucket, de la siguiente manera:

    • Realice una solicitud de operación de API de HeadObject para encontrar el valor de x-amz-server-side-encryption-aws-kms-key-id en la respuesta.

    Para usar una nueva clave administrada por el cliente para los datos, le recomendamos copiar los objetos existentes en un nuevo bucket de directorio con una nueva clave administrada por el cliente.

  • Para las operaciones de la API de punto de conexión zonal (en el nivel de objeto) excepto CopyObject y UploadPartCopy, se autentican y autorizan las solicitudes a través de CreateSession para lograr una baja latencia. Le recomendamos que el cifrado predeterminado del bucket utilice la configuración de cifrado deseada y que no invalide el cifrado predeterminado del bucket en las solicitudes de CreateSession o solicitudes de objetos PUT. A continuación, los objetos nuevos se cifran automáticamente con la configuración de cifrado deseada. Para cifrar los objetos nuevos de un bucket de directorio con SSE-KMS, debe especificar SSE-KMS como la configuración de cifrado predeterminada del bucket de directorios con una clave de KMS (en concreto, una clave administrada por el cliente). A continuación, cuando se crea una sesión para las operaciones de la API de punto de conexión zonal, los nuevos objetos se cifran y descifran automáticamente con claves de bucket SSE-KMS y S3 durante la sesión. Para obtener más información sobre los comportamientos de invalidación del cifrado en los buckets de directorio, consulte Especificación del cifrado del servidor con AWS KMS para cargas de objetos nuevos.

    En las llamadas a la API de punto de conexión zonal (excepto CopyObject y UploadPartCopy), no puede invalidar los valores de la configuración de cifrado (x-amz-server-side-encryption, x-amz-server-side-encryption-aws-kms-key-id, x-amz-server-side-encryption-context o x-amz-server-side-encryption-bucket-key-enabled) de la solicitud de CreateSession. No necesita especificar de forma explícita estos valores de configuración de cifrado en las llamadas a la API de punto de conexión zonal y Amazon S3 utilizará los valores de configuración de cifrado de la solicitud de CreateSession para proteger los nuevos objetos del bucket de directorios.

    nota

    Al utilizar la AWS CLI o los SDK de AWS, para CreateSession, el token de sesión se actualiza automáticamente para evitar interrupciones del servicio cuando una sesión caduca. La AWS CLI o los SDK de AWS utilizan la configuración de cifrado predeterminada del bucket para la solicitud de CreateSession. No se admite para invalidar los valores de la configuración de cifrado de la solicitud de CreateSession. Además, en las llamadas a la API de punto de conexión zonal (excepto CopyObject y UploadPartCopy), no se admite invalidar los valores de la configuración de cifrado de la solicitud de CreateSession.

  • Para CopyObject, para cifrar copias de objetos nuevas en un bucket de directorio con SSE-KMS, debe especificar SSE-KMS como la configuración de cifrado predeterminada del bucket del directorio con una clave de KMS (en concreto, una clave administrada por el cliente). A continuación, al especificar la configuración de cifrado del servidor para las nuevas copias de objetos con SSE-KMS, debe asegurarse de que la clave de cifrado sea la misma clave administrada por el cliente que especificó para la configuración de cifrado predeterminada del bucket del directorio. Para UploadPartCopy, para cifrar copias de partes de objetos nuevas en un bucket de directorio con SSE-KMS, debe especificar SSE-KMS como la configuración de cifrado predeterminada del bucket del directorio con una clave de KMS (en concreto, una clave administrada por el cliente). No puede especificar la configuración de cifrado del servidor para las nuevas copias de partes de objetos con SSE-KMS en los encabezados de solicitud de UploadPartCopy. Además, la configuración de cifrado que proporcione en la solicitud de CreateMultipartUpload debe coincidir con la configuración de cifrado predeterminada del bucket de destino.

  • Las claves de bucket de S3 siempre están habilitadas para las operaciones GET y PUT en un bucket de directorio y no se pueden desactivar. Las claves de bucket de S3 no son compatibles, cuando se copian objetos cifrados con SSE-KMS de buckets de uso general a buckets de directorio, de buckets de directorio a buckets de uso general o entre buckets de directorio, mediante la operación CopyObject, UploadPartCopy, Copy en operaciones por lotes o los trabajos de import. En ese caso, Amazon S3 realiza una llamada a AWS KMS cada vez que se realiza una solicitud de copia para un objeto cifrado con KMS.

  • Cuando especifique una clave administrada por el cliente de AWS KMS para el cifrado en el bucket de directorio, use solo el ID de clave o el ARN de la clave. No se admite el formato de alias de clave de la clave de KMS.

Los bucket de directorio no admiten el cifrado del servidor de doble capa con claves de AWS Key Management Service (AWS KMS) (SSE-KMS) ni cifrado del servidor con claves de cifrado proporcionadas por el cliente (SSE-C).

Cifrado en tránsito

Solo se puede acceder a S3 Express One Zone a través de HTTPS (TLS).

S3 Express One Zone utiliza puntos de conexión de API regionales y zonales. Según la operación de API de Amazon S3 que utilice, es necesario un punto de conexión regional o zonal. Puede acceder a los puntos de conexión zonales y regionales a través de un punto de conexión de la nube privada virtual (VPC) de puerta de enlace. El uso de puntos de enlace de gateway no supone ningún cargo adicional. Para obtener más información sobre los puntos de conexión de las API regionales y zonales, consulte Redes para S3 Express One Zone.

Sumas de comprobación adicionales

S3 Express One Zone le ofrece la opción de elegir el algoritmo de suma de comprobación que se utiliza para validar los datos durante la carga o descarga. Puede seleccionar uno de los siguientes algoritmos de comprobación de integridad de datos Secure Hash Algoritms (SHA) o Cyclic Redundancy Check (CRC): CRC32, CRC32C, SHA-1 y SHA-256. Las sumas de comprobación basadas en MD5 no son compatibles con la clase de almacenamiento S3 Express One Zone.

Para obtener más información, consulte Prácticas recomendadas adicionales para la suma de comprobación de S3.

Eliminación de datos

Puede eliminar uno o más objetos directamente de S3 Express One Zone mediante la consola de Amazon S3, los SDK de AWS, AWS Command Line Interface (AWS CLI) o la API de REST de Amazon S3. Debido a que todos los objetos en los bucket de directorio generan costes de almacenamiento, recomendamos eliminar los objetos cuando ya no los necesite.

Al eliminar un objeto almacenado en un bucket de directorio, también se eliminan de forma recursiva todos los directorios principales en caso de que no contengan ningún objeto que no sea el objeto que se va a eliminar.

nota

S3 Express One Zone no admite la eliminación de la autenticación multifactor (MFA) y el control de versiones de S3.