Devo usar uma chave gerenciada do AWS KMS ou uma chave do KMS gerenciada pelo cliente para criptografar meus objetos no Amazon S3?

3 minuto de leitura

Quero usar a criptografia do lado do servidor com o AWS Key Management Service (SSE-KMS) para meus objetos armazenados no Amazon Simple Storage Service (Amazon S3). Devo usar uma chave do AWS KMS gerenciada pelo cliente? Ou devo usar a chave gerenciada pelo AWS KMS chamada aws/s3? Qual é a diferença entre as duas?

Resolução

O AWS Key Management Service (AWS KMS) gerencia a chave padrão do AWS KMS aws/s3, mas você tem controle total sobre uma chave gerenciada pelo cliente.

Uso da chave padrão do KMS, aws/s3

Observação: o nome da chave KMS é aws/s3 no console do Amazon S3. No entanto, não especifique esse nome ou ID se você usar a AWS Command Line Interface (AWS CLI).

Considere usar a chave padrão do KMS, aws/s3, se:

Você está fazendo upload ou acessando objetos do S3 usando as entidades principal do AWS Identity and Access Management (IAM) que estão na mesma conta da AWS que a chave do AWS KMS.
Você não quer gerenciar políticas para a chave do KMS.

Para criptografar um objeto usando a chave padrão do KMS, aws/s3, defina o método de criptografia como SSE-KMS durante o carregamento, mas não especifique uma chave:

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms

Observação: se você receber erros ao executar comandos da CLI da AWS, verifique se a versão mais recente da CLI da AWS está sendo usada.

Uso de uma chave gerenciada pelo cliente

Considere usar uma chave gerenciada pelo cliente se:

Você quiser criar, alternar, desabilitar ou definir controles de acesso para a chave.
Você quiser conceder acesso entre contas aos seus objetos no S3. É possível configurar a política de uma chave gerenciada pelo cliente para permitir o acesso de outra conta.

Para criptografar um objeto usando uma chave gerenciada pelo cliente, defina o método de criptografia como SSE-KMS durante o carregamento. Em seguida, especifique a chave gerenciada pelo cliente como a chave (--sse-kms-key-id):

aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey

Para controlar o acesso à sua chave gerenciada pelo cliente, modifique a política de chaves. Para obter mais informações sobre como criar uma política de chaves, consulte Como criar uma política de chaves.

Informações relacionadas

Proteção de dados usando criptografia no lado do servidor

Como o Amazon Simple Storage Service (Amazon S3) usa o AWS KMS

Tópicos

Armazenamento

Conteúdo relevante

Meu bucket do Amazon S3 tem criptografia padrão usando uma chave personalizada do AWS KMS. Como permitir que os usuários façam download pelo bucket e upload para o bucket?
AWS OFICIALAtualizada há 2 anos
Preciso especificar a chave do AWS KMS quando faço download de um objeto do Amazon S3 criptografado pelo KMS?
AWS OFICIALAtualizada há um ano
Por que usuários de várias contas estão recebendo erros de acesso negado quando tentam acessar objetos S3 criptografados por uma chave personalizada do AWS KMS?
AWS OFICIALAtualizada há um ano
Como faço para alternar manualmente as chaves gerenciadas pelo cliente no AWS KMS?
AWS OFICIALAtualizada há um ano