Amazon S3 Express One Zone já oferece suporte ao AWS KMS com chaves gerenciadas pelo cliente
Agora, o Amazon S3 Express One Zone oferece suporte à criptografia do lado do servidor com o AWS Key Management Service (SSE-KMS) usando chaves gerenciadas pelo cliente. Por padrão, o S3 Express One Zone criptografa todos os objetos com criptografia do lado do servidor usando chaves gerenciadas do S3 (SSE-S3). Com o suporte do S3 Express One Zone para chaves gerenciadas pelo cliente, você tem mais opções para criptografar e gerenciar a segurança dos dados. As chaves de bucket do S3 estão sempre ativadas quando você usa o SSE-KMS com o S3 Express One Zone, sem custo adicional.
Com as chaves gerenciadas pelo cliente, você pode definir políticas de chaves que controlam quais perfis do IAM podem descriptografar os dados e ver no AWS CloudTrail uma relação completa das chaves específicas usadas para criptografar e descriptografar os dados. Além disso, com as chaves de bucket do S3, o KMS gera uma chave no nível de bucket em vez de uma chave individual do KMS para cada objeto criptografado do KMS. O S3 Express One Zone usa essa chave de bucket para proteger chaves de dados exclusivas que são usadas para criptografar objetos em um bucket, evitando a necessidade de solicitações adicionais do KMS para concluir as operações de criptografia. Isso resulta na redução do tráfego de solicitações para o KMS, permitindo acessar objetos criptografados no S3 Express One Zone por uma fração do custo, mantendo o mesmo acesso a dados em menos de 10 milissegundos.
O suporte do S3 Express One Zone para SSE-KMS usando chaves gerenciadas pelo cliente está disponível em todas as regiões da AWS que oferecem a classe de armazenamento. Comece a usar o KMS para o S3 Express One Zone por meio da AWS CLI ou dos AWS SDKs para especificar a chave gerenciada pelo cliente para seu bucket de diretório do S3. Para saber mais, acesse o Guia do usuário do S3 e o Blog de notícias da AWS.