Cifrado de datos en Amazon S3 - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en Amazon S3

AWS Transfer Family utiliza las opciones de cifrado predeterminadas que ha establecido para su bucket de Amazon S3 para cifrar sus datos. Cuando se habilita el cifrado en un bucket, todos los objetos se cifran en el momento de almacenarse en el bucket. Los objetos se cifran mediante el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) o claves administradas () AWS Key Management Service (SSE-KMS AWS KMS). Para obtener más información sobre el cifrado del servidor, consulte Protección de datos con el cifrado del lado del servidor en la Guía del usuario de Amazon Simple Storage Service.

Los siguientes pasos le muestran cómo cifrar los datos. AWS Transfer Family

Para permitir el cifrado en AWS Transfer Family

  1. Habilitación del cifrado predeterminado en un bucket de Amazon S3. Para obtener instrucciones, consulte Cifrado predeterminado de Amazon S3 para los buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

  2. Actualice la política de funciones AWS Identity and Access Management (IAM) asociada al usuario para conceder los permisos necesarios AWS Key Management Service (AWS KMS).

  3. Si utiliza una política de sesión para el usuario, la política de sesión debe conceder los AWS KMS permisos necesarios.

El siguiente ejemplo muestra una política de IAM que concede los permisos mínimos necesarios cuando se utiliza AWS Transfer Family con un bucket de Amazon S3 que está habilitado para el AWS KMS cifrado. Incluya esta política de ejemplo en la política del rol de IAM del usuario y en la política de ámbito reducido, si utiliza alguna.

{
	"Sid": "Stmt1544140969635",
	"Action": [
		"kms:Decrypt",
		"kms:Encrypt",
		"kms:GenerateDataKey"
	],
	"Effect": "Allow",
	"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
nota

El ID de clave de KMS especificado en esta política debe ser el mismo que el especificado para el cifrado predeterminado en el paso 1.

La política de claves de AWS KMS debe permitir el rol raíz o el rol de IAM que se utiliza para el usuario. Para obtener información sobre la política de AWS KMS claves, consulte Uso de políticas clave en AWS KMS en la Guía para AWS Key Management Service desarrolladores.