Para proteger los datos del bucket de Amazon S3, habilite el cifrado del lado del servidor con las claves administradas de Amazon S3 (SSE-S3) o con el cifrado del lado del servidor con claves de KMS (SSE-KMS) en su bucket de S3. Para obtener más información, consulte Protección de datos mediante cifrado del lado del servidor en la Guía del usuario de Amazon S3.
Si elija SSE-S3, no se requiere ninguna configuración adicional. Amazon S3 se encarga de la clave de cifrado.
Si elige SSE-KMS, debe utilizar un ARN de clave administrada por el cliente. Si utiliza un ID de clave, puede producirse un error LogDestination undeliverable cuando cree un registro de flujo. Además, debe actualizar la política de claves para la clave administrada por el cliente, de manera que la cuenta de entrega de registros pueda escribir en el bucket de S3. Para obtener más información sobre la política clave requerida para usar con SSE-KMS, consulte Cifrado del lado del servidor del bucket de Amazon S3 en la Guía del usuario de Amazon CloudWatch Logs.
