Usar criptografia de camada dupla do lado do servidor com chaves do AWS KMS (DSSE-KMS)
O uso da criptografia de camada dupla do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (DSSE-KMS) aplica duas camadas de criptografia aos objetos quando eles são carregados no Amazon S3. A DSSE-KMS ajuda a cumprir mais facilmente os padrões de conformidade que exigem que você aplique a criptografia de várias camadas aos dados e tenha controle total das chaves de criptografia.
Ao usar a criptografia DSSE-KMS com um bucket do Amazon S3, as chaves do AWS KMS devem estar na mesma região que o bucket. Além disso, quando a DSSE-KMS é solicitada para o objeto, a soma de verificação do S3 que faz parte dos metadados do objeto é armazenada em formato criptografado. Para ter mais informações sobre somas de verificação, consulte Verificar a integridade do objeto.
Há custos adicionais para usar a DSSE-KMS e as AWS KMS keys. Para ter mais informações sobre o preço da DSSE-KMS, consulte Conceitos do AWS KMS key no Guia do desenvolvedor do AWS Key Management Service e Preços do AWS KMS
nota
As chaves de bucket do S3 não comportam DSSE-KMS.
Exigir criptografia de camada dupla do lado do servidor com chaves do AWS KMS keys (DSSE-KMS)
Para exigir criptografia de camada dupla do lado do servidor de todos os objetos em um bucket específico do Amazon S3, é possível usar uma política de bucket. Por exemplo, a política de bucket a seguir negará permissão de carregamento de objeto (s3:PutObject) para todos se a solicitação não incluir um cabeçalho x-amz-server-side-encryption que solicita criptografia do lado do servidor com a DSSE-KMS.
{ "Version":"2012-10-17", "Id":"PutObjectPolicy", "Statement":[{ "Sid":"DenyUnEncryptedObjectUploads", "Effect":"Deny", "Principal":"*", "Action":"s3:PutObject", "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*", "Condition":{ "StringNotEquals":{ "s3:x-amz-server-side-encryption":"aws:kms:dsse" } } } ] }
Tópicos
