Publicado: Aug 8, 2022
A nova chave de condição do Amazon S3 permite criar políticas que ajudam a controlar o uso de criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C). O uso de chaves de condição do Amazon S3 permite especificar condições ao conceder permissões no elemento opcional "Condition" de um bucket ou política do IAM. Uma dessas condições é exigir criptografia do lado do servidor (SSE) usando seu método de criptografia preferido.
Quando você usa SSE-C, fornece e gerencia as chaves de criptografia e o S3 implementa a criptografia/descriptografia de dados dos objetos. A maioria dos clientes aproveita o suporte incorporado do S3 às chaves de criptografia com chaves gerenciadas pelo S3 (SSE-S3) ou chaves do AWS Key Management Service (KMS) (SSE-KMS). No entanto, alguns clientes optam pelo SSE-C para obter uma camada de controle adicional sobre dados confidenciais armazenados no S3 ou cumprir regulamentos de conformidade. Nesses casos, pode ser útil que todos os uploads para buckets usem SSE-C. Nos outros casos, pode ser necessário evitar uploads de objetos usando SSE-C para que você e os clientes não precisem manter chaves de criptografia. Com a nova chave de condição, os clientes podem optar entre exigir ou restringir o uso de SSE-C.
A chave de condição do S3 para objetos criptografados por SSE-C está disponível sem custo adicional em todas as regiões da AWS, incluindo as regiões AWS GovCloud (EUA), AWS China (Pequim), operada pela Sinnet, e AWS China (Ningxia), operada pela NWCD. Para começar a usar a nova chave de condição, acesse a documentação sobre proteção de dados usando criptografia do lado do servidor com chaves de criptografia fornecidas pelos clientes. Para saber mais sobre as chaves de condição do S3, consulte o Guia do usuário do S3.