Amazon S3 criptografia do lado do cliente com chaves gerenciadas AWS KMS - AWS SDK for Java 1.x
Requer importaçõesCriptografia rigorosa autenticadaModo de criptografia autenticadaConfigurando o cliente AWS KMS

O AWS SDK for Java 1.x entrou no modo de manutenção em 31 de julho de 2024 e chegará end-of-supportem 31 de dezembro de 2025. Recomendamos que você migre para o AWS SDK for Java 2.xpara continuar recebendo novos recursos, melhorias de disponibilidade e atualizações de segurança.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon S3 criptografia do lado do cliente com chaves gerenciadas AWS KMS

Os exemplos a seguir usam a classe AmazonS3 EncryptionClient V2Builder para criar um Amazon S3 cliente com a criptografia do lado do cliente ativada. Depois de configurado, todos os objetos que você fizer upload Amazon S3 usando esse cliente serão criptografados. Todos os objetos obtidos ao Amazon S3 usar esse cliente são automaticamente descriptografados.

nota

Os exemplos a seguir demonstram como usar a criptografia do Amazon S3 lado do cliente com chaves AWS KMS gerenciadas. Para aprender a usar criptografia com suas próprias chaves, consulte Criptografia do lado do cliente do Amazon S3 com chaves mestras de cliente.

Você pode escolher entre dois modos de criptografia ao ativar a Amazon S3 criptografia do lado do cliente: estritamente autenticado ou autenticado. As seções a seguir mostram como ativar cada tipo. Para saber quais algoritmos cada modo usa, veja a CryptoModedefinição.

Requer importações

Importe as seguintes classes para esses exemplos.

Importações 

import com.amazonaws.ClientConfiguration;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.kms.AWSKMS;
import com.amazonaws.services.kms.AWSKMSClientBuilder;
import com.amazonaws.services.kms.model.GenerateDataKeyRequest;
import com.amazonaws.services.kms.model.GenerateDataKeyResult;
import com.amazonaws.services.s3.AmazonS3EncryptionClientV2Builder;
import com.amazonaws.services.s3.AmazonS3EncryptionV2;
import com.amazonaws.services.s3.model.CryptoConfigurationV2;
import com.amazonaws.services.s3.model.CryptoMode;
import com.amazonaws.services.s3.model.EncryptionMaterials;
import com.amazonaws.services.s3.model.KMSEncryptionMaterialsProvider;

Criptografia rigorosa autenticada

A criptografia rigorosa autenticada é o modo padrão se nenhum CryptoMode for especificado.

Para ativar explicitamente este modo, especifique o valor StrictAuthenticatedEncryption no método withCryptoConfiguration.

nota

Para usar criptografia autenticada do lado do cliente, você precisa incluir o arquivo Bouncy Castle jar mais recente no caminho de classe do seu aplicativo.

Código 

AmazonS3EncryptionV2 s3Encryption = AmazonS3EncryptionClientV2Builder.standard()
         .withRegion(Regions.US_WEST_2)
         .withCryptoConfiguration(new CryptoConfigurationV2().withCryptoMode((CryptoMode.StrictAuthenticatedEncryption)))
         .withEncryptionMaterialsProvider(new KMSEncryptionMaterialsProvider(keyId))
         .build();

s3Encryption.putObject(bucket_name, ENCRYPTED_KEY3, "This is the 3rd content to encrypt with a key created in the {console}");
System.out.println(s3Encryption.getObjectAsString(bucket_name, ENCRYPTED_KEY3));

Chame o putObject método no cliente Amazon S3 de criptografia para carregar objetos.

Código 

s3Encryption.putObject(bucket_name, ENCRYPTED_KEY3, "This is the 3rd content to encrypt with a key created in the {console}");

Você pode recuperar o objeto usando o mesmo cliente. Este exemplo chama o método getObjectAsString para recuperar a string que foi armazenada.

Código 

System.out.println(s3Encryption.getObjectAsString(bucket_name, ENCRYPTED_KEY3));

Modo de criptografia autenticada

Quando você usa o modo AuthenticatedEncryption, um algoritmo de encapsulamento de chave aprimorado é aplicado durante a criptografia. Ao descriptografar nesse modo, o algoritmo verifica a integridade do objeto descriptografado e lança uma exceção se a verificação falhar. Para obter mais detalhes sobre como a criptografia autenticada funciona, consulte a postagem do blog Criptografia autenticada no lado do cliente do Amazon S3.

nota

Para usar criptografia autenticada do lado do cliente, você precisa incluir o arquivo Bouncy Castle jar mais recente no caminho de classe do seu aplicativo.

Para ativar este modo, especifique o valor AuthenticatedEncryption no método withCryptoConfiguration.

Código 

AmazonS3EncryptionV2 s3Encryption = AmazonS3EncryptionClientV2Builder.standard()
         .withRegion(Regions.US_WEST_2)
         .withCryptoConfiguration(new CryptoConfigurationV2().withCryptoMode((CryptoMode.AuthenticatedEncryption)))
         .withEncryptionMaterialsProvider(new KMSEncryptionMaterialsProvider(keyId))
         .build();

Configurando o cliente AWS KMS

O cliente Amazon S3 de criptografia cria um AWS KMS cliente por padrão, a menos que um seja explicitamente especificado.

Para definir a região desse AWS KMS cliente criado automaticamente, defina o. awsKmsRegion

Código 

Region kmsRegion = Region.getRegion(Regions.AP_NORTHEAST_1);

AmazonS3EncryptionV2 s3Encryption = AmazonS3EncryptionClientV2Builder.standard()
        .withRegion(Regions.US_WEST_2)
        .withCryptoConfiguration(new CryptoConfigurationV2().withAwsKmsRegion(kmsRegion))
        .withEncryptionMaterialsProvider(new KMSEncryptionMaterialsProvider(keyId))
        .build();

Como alternativa, você pode usar seu próprio AWS KMS cliente para inicializar o cliente de criptografia.

Código 

AWSKMS kmsClient = AWSKMSClientBuilder.standard()
        .withRegion(Regions.US_WEST_2);
        .build();

AmazonS3EncryptionV2 s3Encryption = AmazonS3EncryptionClientV2Builder.standard()
        .withRegion(Regions.US_WEST_2)
        .withKmsClient(kmsClient)
        .withCryptoConfiguration(new CryptoConfigurationV2().withCryptoMode((CryptoMode.AuthenticatedEncryption)))
        .withEncryptionMaterialsProvider(new KMSEncryptionMaterialsProvider(keyId))
        .build();