¿Debo usar una clave administrada por AWS KMS o una clave de KMS administrada por el cliente para cifrar mis objetos en Amazon S3?

Última actualización: 01/11/2021

Quiero usar el cifrado del lado del servidor con AWS Key Management Service (SSE-KMS) para los objetos almacenados en Amazon Simple Storage Service (Amazon S3). ¿Debo usar una clave de AWS KMS administrada por el cliente? ¿O debo usar la clave administrada por AWS KMS llamada aws/s3? ¿Cuál es la diferencia entre una y otra?

Resolución

AWS KMS administra la clave KMS aws/s3 predeterminada, pero usted tiene control total sobre una clave administrada por el cliente.

Uso de la clave KMS aws/s3 predeterminada

Nota: El nombre de la clave de KMS es aws/s3 en la consola de Amazon S3, pero no especifique ese nombre o ID si utiliza AWS Command Line Interface (AWS CLI).

Considere usar la clave KMS aws/s3 predeterminada si:

  • Está cargando o accediendo a objetos de S3 mediante las entidades de AWS Identity and Access Management (IAM) que están en la misma cuenta de AWS que la clave de KMS.
  • No quiere administrar las políticas de la clave de KMS.

Para cifrar un objeto mediante la clave de KMS aws/s3 predeterminada, defina el método de cifrado como SSE-KMS durante la carga, pero no especifique una clave:

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms

Nota: Si recibe errores al ejecutar comandos de AWS CLI, asegúrese de que está utilizando la versión más reciente de AWS CLI.

Usar una clave administrada por el cliente

Considere usar una clave administrada por el cliente si:

  • Desea crear, rotar, desactivar o definir controles de acceso para la clave.
  • Desea conceder acceso multicuenta a sus objetos de S3. Puede configurar la política de una clave administrada por el cliente para permitir el acceso desde otra cuenta.

Para cifrar un objeto mediante una clave administrada por el cliente, defina el método de cifrado como SSE-KMS durante la carga. A continuación, especifique la clave administrada por el cliente como la clave (—sse-kms-key-id):

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey

Para controlar el acceso a la clave administrada por el cliente, modifique la política de claves. Para más información sobre cómo crear una política de claves, consulte Ejemplo de política de claves.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?