Cifrado de datos en Amazon S3 - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en Amazon S3

AWS Transfer Family utiliza las opciones de cifrado predeterminadas que ha establecido para su bucket de Amazon S3 para cifrar sus datos. Cuando se habilita el cifrado en un bucket, todos los objetos se cifran en el momento de almacenarse en el bucket. Los objetos se cifran mediante el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) o claves administradas AWS Key Management Service (AWS KMS) (-). SSE KMS Para obtener más información sobre el cifrado del servidor, consulte Protección de datos con el cifrado del lado del servidor en la Guía del usuario de Amazon Simple Storage Service.

Los siguientes pasos le muestran cómo cifrar los datos. AWS Transfer Family

Para permitir el cifrado en AWS Transfer Family

  1. Habilitación del cifrado predeterminado en un bucket de Amazon S3. Para obtener instrucciones, consulte Cifrado predeterminado de Amazon S3 para los buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

  2. Actualice la política de roles AWS Identity and Access Management (IAM) asociada al usuario para conceder los permisos AWS Key Management Service (AWS KMS) necesarios.

  3. Si utiliza una política de sesión para el usuario, la política de sesión debe conceder los AWS KMS permisos necesarios.

El siguiente ejemplo muestra una IAM política que concede los permisos mínimos necesarios cuando se utiliza AWS Transfer Family con un bucket de Amazon S3 que está habilitado para el AWS KMS cifrado. Incluya este ejemplo de política tanto en la política de IAM roles de usuario como en la política de sesión, si está utilizando una.

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
nota

El identificador de KMS clave que especifique en esta política debe ser el mismo que el especificado para el cifrado predeterminado en el paso 1.

La política de AWS KMS claves debe permitir el IAM rol root, o el rol que se usa para el usuario. Para obtener información sobre la política AWS KMS clave, consulte Uso de políticas clave AWS KMS en la Guía para AWS Key Management Service desarrolladores.