Publicado en: Feb 19, 2021
AWS Config ahora admite la capacidad de utilizar una clave de AWS Key Management Service (KMS) o un alias de nombre de recurso de Amazon (ARN) que usted proporcione para cifrar datos entregados al bucket de Amazon Simple Storage Service (S3). De manera predeterminada, AWS Config entrega el historial de configuración y los archivos de instantáneas al bucket de S3. Además, cifra los datos en reposo mediante el cifrado del lado del servidor AES-256 de S3, SSE-S3. Gracias a esta versión, al proporcionar la clave de KMS o el alias de ARN a AWS Config, este servicio utilizará la clave de KMS, en lugar del cifrado AES-256.
Para comenzar, cree una clave de KMS y configúrela con el permiso para GenerateDataKey y descifrar. Tras ello, puede proporcionar la clave de KMS a AWS Config mediante una llamada a la API PutDeliveryChannel con la clave de KMS de S3, o el alias de ARN. Los objetos entregados al bucket de S3 se cifrarán mediante el cifrado del lado del servidor con CMK de KMS. Si no proporciona una clave de KMS o un alias de ARN a AWS Config, este servicio cifrará de manera predeterminada los datos entregados mediante el cifrado AES-256.
La compatibilidad con el cifrado de KMS en los buckets de S3 utilizados por AWS Config está disponible sin costo adicional en todas las regiones comerciales de AWS y AWS GovCloud (EE. UU.).
Para obtener más información sobre AWS Config, consulte la página web de AWS Config.
Para obtener información sobre cómo crear y configurar AWS Key Management Service (AWS KMS), consulte la documentación sobre AWS Key Management Service.