๐ŸชฃEncryption

  • Los bucket no estan encriptados, los objetos SI.

  • Dos metodos soportados (at rest)

    • Client Side Encryption: Los objetos son encrypted por el client. La data se recibe encriptada en AWS.

    • Server side encryption:

S3 Side Encryption Types

S3 tiene tres tipos de side encryptions:

  • SSE-C = Server side encryption with customer provider keys.

    • Customer responsable de encryption keys

    • S3 maneja el encryption y decryption process.

  • SSE-S3 = Server Side Encryption with Amazon S3 Managed Keys.

    • AWS maneja encryption y decryption process.

    • AWS Maneja lo keys

    • Default type de encriptacion.

    • Usa AES-256

  • SSE-KMS = Server Side Encryption with KMS Keys in AWS Key Management Service.

    • Parecido a SSE-S3, aws handles key y encryption.

    • Usa el servicio KMS.

    • Te permite controlar la rotacion del key material y permisos (policies)

    • Role separation

Cuando se usa CLI para encriptar el upload se usa el parametro x-amz-server-side-encryption

  • Si el value es AES256 -> Usa SSE-S3

  • Si el value es aws:kms -> Usa SSE-KMS

Si no usas un valor, se usara el bucket default.

PreviousObject LockNextInstance Metadata

Last updated