Publicado: Jun 13, 2023
Agora, os clientes podem aplicar duas camadas independentes de criptografia do lado do servidor aos objetos no Amazon S3. A criptografia de camada dupla no lado do servidor com chaves armazenadas no AWS Key Management Service (DSSE-KMS) foi projetada para atender às diretrizes da National Security Agency CNSSP 15 em conformidade com FIPS e com a orientação da versão 5.0 do Data-at-Rest Capability Package (DAR CP) para duas camadas de criptografia CNSA. O Amazon S3 é o único serviço de armazenamento de objetos na nuvem em que os clientes podem aplicar duas camadas de criptografia no nível do objeto e controlar as chaves de dados usadas em ambas as camadas. Os atributos do S3, como o DSSE-KMS, são avaliados e aceitos para uso em workloads ultrassecretas, o que beneficia todos os clientes em todo o mundo.
O DSSE-KMS simplifica o processo de aplicação de duas camadas de criptografia aos seus dados, sem precisar investir na infraestrutura necessária para criptografia do lado do cliente. Cada camada de criptografia usa uma implementação diferente do algoritmo Advanced Encryption Standard de 256 bits com Galois Counter Mode (AES-GCM - Padrão de Criptografia Avançada com Modo de Contador Galois). O DSSE-KMS usa o AWS Key Management Service (KMS) para gerar chaves de dados, permitindo que os clientes controlem suas chaves gerenciadas pelo cliente definindo permissões por chave e especificando programações de rotação de chaves. Com o DSSE-KMS, os clientes agora podem consultar e analisar seus dados com criptografia dupla com os serviços da AWS, como Amazon Athena, Amazon SageMaker, entre outros.
O DSSE-KMS está disponível por um custo adicional em todas as regiões da AWS. Para obter informações sobre preços, consulte as páginas de preços do Amazon S3 e do AWS KMS. Para saber mais sobre todas as opções de criptografia disponíveis no Amazon S3, acesse o Guia do usuário do S3. Para obter mais informações sobre o DSSE-KMS, leia o blog de notícias da AWS.