Publicado: Feb 19, 2021
O AWS Config agora oferece suporte à capacidade de usar uma chave do AWS Key Management Service (KMS) ou Nome de recurso da Amazon (ARN) alias que você mesmo fornece, para criptografar os dados entregues ao seu bucket do Amazon Simple Storage Service (S3). Por padrão, o AWS Config entrega o histórico de configuração e arquivos de snapshot ao seu bucket do S3 e criptografa os dados em repouso usando a criptografia do servidor AES-256 do S3 (SSE-S3). Com esta versão, se você fornecer ao AWS Config sua chave do KMS ou ARN alias, o AWS Config usará essa chave do KMS em vez de usar a criptografia AES-256.
Para começar, crie uma chave do KMS e configure-a com as permissões GenerateDataKey e Decrypt. Em seguida, você pode fornecer a chave do KMS ao AWS Config, chamando a API PutDeliveryChannel com a sua chave do KMS do S3, ARN ou ARN alias. Os objetos entregues ao bucket do S3 serão criptografados usando criptografia no lado do servidor com CMKs do KMS. Se você não fornecer ao AWS Config uma chave do KMS ou um ARN alias, o AWS Config criptografará os dados fornecidos por padrão com a criptografia AES-256.
O suporte para criptografia do KMS em buckets S3 usados pelo AWS Config está disponível sem custo adicional em todas as Regiões comerciais da AWS e na AWS GovCloud (EUA).
Para obter mais informações sobre o AWS Config, consulte sua página da web.
Para obter mais informações sobre como criar e configurar o AWS Key Management Service (AWS KMS), consulte a Documentação do AWS Key Management Service.