Quiero usar el cifrado del lado del servidor con AWS Key Management Service (SSE-KMS) para los objetos almacenados en Amazon Simple Storage Service (Amazon S3). ¿Debo usar una clave de AWS KMS administrada por el cliente? ¿O debo usar la clave administrada por AWS KMS llamada aws/s3? ¿Cuál es la diferencia entre una y otra?
Resolución
AWS Key Management Service (AWS KMS) administra la clave de AWS KMS aws/s3 predeterminada, pero el usuario tiene pleno control sobre una clave administrada por el cliente.
Uso de la clave KMS aws/s3 predeterminada
Nota: El nombre de la clave de KMS es aws/s3 en la consola de Amazon S3. Sin embargo, no especifique ese nombre o ID si usa la interfaz de la línea de comandos de AWS (AWS CLI).
Considere usar la clave KMS aws/s3 predeterminada si:
- EEstá cargando o accediendo a objetos de S3 mediante las entidades principales de AWS Identity and Access Management (IAM) que están en la misma cuenta de AWS que la clave de AWS KMS.
- No quiere administrar las políticas de la clave de KMS.
Para cifrar un objeto mediante la clave de KMS aws/s3 predeterminada, defina el método de cifrado como SSE-KMS durante la carga, pero no especifique una clave:
aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms
Nota: si recibe errores al ejecutar comandos de AWS CLI, asegúrese de que utiliza la versión más reciente de AWS CLI.
Usar una clave administrada por el cliente
Considere usar una clave administrada por el cliente si:
- Desea crear, rotar, desactivar o definir controles de acceso para la clave.
- Desea conceder acceso multicuenta a sus objetos de S3. Puede configurar la política de una clave administrada por el cliente para permitir el acceso desde otra cuenta.
Para cifrar un objeto mediante una clave administrada por el cliente, defina el método de cifrado como SSE-KMS durante la carga. A continuación, especifique la clave administrada por el cliente como la clave (—sse-kms-key-id):
aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey
Para controlar el acceso a la clave administrada por el cliente, modifique la política de claves. Para más información sobre cómo crear una política de claves, consulte Creación de una política de claves.
Información relacionada
Protección de datos mediante el cifrado del lado del servidor
Cómo Amazon Simple Storage Service (Amazon S3) usa AWS KMS