¿Qué ocurre con los objetos nuevos o existentes cuando activo el cifrado predeterminado con AWS KMS en mi bucket de Amazon S3?

Solución

Tras activar el cifrado predeterminado de AWS KMS en el bucket, Amazon S3 aplica el cifrado solo a los objetos recién cargados sin ninguna configuración de cifrado.

El cifrado de bucket predeterminado no cambia la configuración de cifrado de los objetos existentes. Por ejemplo, si activa el cifrado del servidor con AWS KMS (SSE-KMS) en el bucket, todos los objetos no cifrados que ya estén en el bucket permanecerán sin cifrar. Además, todos los objetos que ya estén cifrados mediante SSE-KMS, SSE-S3 o SSE-C permanecerán cifrados en su clave respectiva.

El cifrado de bucket predeterminado tampoco anula la configuración de cifrado que especifique al cargar un objeto nuevo. Por ejemplo, si especifica el cifrado AES256 en su solicitud de PutObject a un bucket con el cifrado SSE-KMS predeterminado, el objeto mantendrá el cifrado AES256 (SSE-S3).

Si el bucket tiene un cifrado predeterminado, pero ve objetos recién cargados con diferentes configuraciones de cifrado, consulte los registros de eventos de datos de AWS CloudTrail. Los registros de las solicitudes de API PUT, POST, e InitiateMultipartUpload tienen un campo SSEApplied. Si el valor de este campo es Default_SSE_S3 o Default_SSE_KMS, el objeto tiene un cifrado predeterminado. Si el valor es SSE_S3 o SSE_KMS, el objeto especifica la configuración de cifrado en la solicitud de PutObject.

**Nota:**Para solicitar a los usuarios que carguen objetos con SSE-KMS, utilice una política de buckets, una política de puntos de acceso, o una política de control de servicios de AWS Organizations.