Cuando activo el cifrado predeterminado en mi bucket de Amazon S3, ¿debo actualizar mi política de bucket para que los objetos del bucket estén cifrados?

Resolución

No, no necesita actualizar su política de bucket para asegurarse de que los objetos almacenados en su bucket estén cifrados. Si activa el cifrado predeterminado y un usuario carga un objeto sin información de cifrado, Amazon S3 usará el método de cifrado predeterminado que especifique. Si un usuario especifica la información de cifrado en la solicitud PUT, Amazon S3 usará el cifrado especificado en la solicitud.

Este comportamiento se aplica al cifrado con las claves siguientes:

• Claves administradas por Amazon S3.
• Claves etiquetadas como claves SSE-S3.
• Claves administradas por AWS Key Management Service (AWS KMS).
• Claves etiquetadas como claves SSE-KMS.

Para obtener más información sobre el comportamiento de cifrado tras activar el cifrado predeterminado, consulte Establecer el comportamiento del cifrado predeterminado del lado del servidor para los buckets de Amazon S3.

Importante: Tras activar el cifrado predeterminado con una clave de AWS KMS personalizada, debe conceder a los usuarios permisos adicionales para que puedan tener acceso a los objetos. Otorgue a esos usuarios permisos para usar la clave en la política de claves o en su política de AWS Identity and Access Management (IAM). Para obtener instrucciones sobre cómo conceder estos permisos, consulte My Amazon S3 bucket has default encryption using a custom AWS KMS key. How can I allow users to download from and upload to the bucket? Para las operaciones entre cuentas, consulte Uso del cifrado SSE-KMS para operaciones entre cuentas.

Información relacionada

Key policies in AWS KMS

AWS KMS concepts