in Amazon

Amazon S3 Express One Zone ahora es compatible con AWS KMS con claves administradas por el cliente | Amazon Web Services

271 Views

Amazon S3 Express One Zone, una clase de almacenamiento S3 de zona de disponibilidad (AZ) única y de alto rendimiento, ahora admite el cifrado del lado del servidor con claves de AWS Key Management Service (KMS) (SSE-KMS). S3 Express One Zone ya cifra todos los objetos almacenados en los depósitos de directorios S3 con claves administradas por Amazon S3 (SSE-S3) de forma predeterminada. A partir de hoy, puede usar claves administradas por el cliente de AWS KMS para cifrar datos en reposo, sin afectar el rendimiento. Esta nueva capacidad de cifrado le brinda una opción adicional para cumplir con los requisitos normativos y de cumplimiento al usar S3 Express One Zone, que está diseñado para brindar acceso a datos consistente en milisegundos de un solo dígito para los datos a los que accede con más frecuencia y las aplicaciones sensibles a la latencia.

Los depósitos de directorio S3 le permiten especificar solo una clave administrada por el cliente por depósito para el cifrado SSE-KMS. Una vez que se agrega la clave administrada por el cliente, no puede editarla para usar una nueva clave. Por otro lado, con los depósitos de propósito general S3, puede usar múltiples claves KMS ya sea modificando la configuración de cifrado predeterminada del depósito o durante las solicitudes PUT de S3. Cuando se usa SSE-KMS con S3 Express One Zone, las claves de depósito S3 siempre están habilitadas. Las claves de depósito S3 son gratuitas y reducen la cantidad de solicitudes a AWS KMS hasta en un 99 %, lo que optimiza tanto el rendimiento como los costos.

Uso de SSE-KMS con Amazon S3 Express One Zone
Para mostrarle esta nueva capacidad en acción, primero creo un depósito de directorio S3 en la consola de Amazon S3 siguiendo los pasos para crear un depósito de directorio S3 y uso apne1-az4 como el Zona de disponibilidad. En Nombre baseentro s3express-kms y un sufijo que incluye el ID de la zona de disponibilidad que se agrega automáticamente para crear el nombre final. Luego, selecciono la casilla de verificación para confirmar que Los datos se almacenan en una única zona de disponibilidad.

En el Cifrado predeterminado sección, yo elijo Cifrado del lado del servidor con claves de AWS Key Management Service (SSE-KMS). Bajo Clave KMS de AWS Puedo Elija entre sus claves AWS KMS, Ingrese el ARN de la clave KMS de AWS, o Crear una clave KMSPara este ejemplo, creé previamente una clave AWS KMS, que seleccioné de la lista y luego elegí Crear un depósito.

Ahora, cualquier objeto nuevo que cargue en este directorio S3 se cifrará automáticamente utilizando mi clave AWS KMS.

SSE-KMS con Amazon S3 Express One Zone en acción
Para usar SSE-KMS con S3 Express One Zone a través de la interfaz de línea de comandos de AWS (AWS CLI), necesita un usuario o rol de AWS Identity and Access Management (IAM) con la siguiente política. Esta política permite la operación de la API CreateSession, que es necesaria para cargar y descargar correctamente archivos cifrados hacia y desde su depósito de directorio de S3.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"s3express:CreateSession"
			],
			"Resource": [
				"arn:aws:s3express:*::bucket/s3express-kms--apne1-az4--x-s3"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"kms:Decrypt",
				"kms:GenerateDataKey"
			],
			"Resource": [
				"arn:aws:kms:*::key/"
			]
		}
	]
}

Con PutObject Comando, subo un nuevo archivo llamado confidential-doc.txt a mi directorio S3.

aws s3api put-object --bucket s3express-kms--apne1-az4--x-s3 \
--key confidential-doc.txt \
--body confidential-doc.txt

Como resultado del comando anterior recibo el siguiente resultado:

{
    "ETag": "\"664469eeb92c4218bbdcf92ca559d03b\"",
    "ChecksumCRC32": "0duteA==",
    "ServerSideEncryption": "aws:kms",
    "SSEKMSKeyId": "arn:aws:kms:ap-northeast-1::key/",
    "BucketKeyEnabled": true
}

Al verificar las propiedades del objeto con el comando HeadObject, veo que está encriptado usando SSE-KMS con la clave que creé antes:

aws s3api head-object --bucket s3express-kms--apne1-az4--x-s3 \
--key confidential-doc.txt

Obtengo el siguiente resultado:

 
{
    "AcceptRanges": "bytes",
    "LastModified": "2024-08-21T15:29:22+00:00",
    "ContentLength": 5,
    "ETag": "\"664469eeb92c4218bbdcf92ca559d03b\"",
    "ContentType": "binary/octet-stream",
    "ServerSideEncryption": "aws:kms",
    "Metadata": {},
    "SSEKMSKeyId": "arn:aws:kms:ap-northeast-1::key/",
    "BucketKeyEnabled": true,
    "StorageClass": "EXPRESS_ONEZONE"
}

Descargo el objeto cifrado con GetObject:

aws s3api get-object --bucket s3express-kms--apne1-az4--x-s3 \
--key confidential-doc.txt output-confidential-doc.txt

Como mi sesión tiene los permisos necesarios, el objeto se descarga y descifra automáticamente.

{
    "AcceptRanges": "bytes",
    "LastModified": "2024-08-21T15:29:22+00:00",
    "ContentLength": 5,
    "ETag": "\"664469eeb92c4218bbdcf92ca559d03b\"",
    "ContentType": "binary/octet-stream",
    "ServerSideEncryption": "aws:kms",
    "Metadata": {},
    "SSEKMSKeyId": "arn:aws:kms:ap-northeast-1::key/",
    "BucketKeyEnabled": true,
    "StorageClass": "EXPRESS_ONEZONE"
}

Para esta segunda prueba, utilizo un usuario de IAM diferente con una política a la que no se le otorgan los permisos de clave KMS necesarios para descargar el objeto. Este intento falla con un Acceso denegado error, lo que demuestra que el cifrado SSE-KMS está funcionando según lo previsto.

An error occurred (AccessDenied) when calling the CreateSession operation: Access Denied

Esta demostración muestra cómo SSE-KMS funciona perfectamente con S3 Express One Zone, proporcionando una capa adicional de seguridad y manteniendo la facilidad de uso para los usuarios autorizados.

Cosas que debes saber
Empezando – Puede habilitar SSE-KMS para S3 Express One Zone mediante la consola de Amazon S3, AWS CLI o los SDK de AWS. Establezca la configuración de cifrado predeterminada de su depósito de directorio S3 en SSE-KMS y especifique su clave de AWS KMS. Recuerde que solo puede usar una clave administrada por el cliente por depósito de directorio S3 durante su vigencia.

Regiones – La compatibilidad de S3 Express One Zone con SSE-KMS mediante claves administradas por el cliente está disponible en todas las regiones de AWS donde S3 Express One Zone está disponible actualmente.

Actuación – El uso de SSE-KMS con S3 Express One Zone no afecta la latencia de las solicitudes. Seguirá experimentando el mismo acceso a los datos en un solo dígito de milisegundos.

Precios – Usted paga los cargos de AWS KMS para generar y recuperar las claves de datos utilizadas para el cifrado y descifrado. Visite la página de precios de AWS KMS para obtener más detalles. Además, al utilizar SSE-KMS con S3 Express One Zone, las claves de depósito de S3 se habilitan de forma predeterminada para todas las operaciones del plano de datos, excepto CopyObject y UploadPartCopy, y no se pueden deshabilitar. Esto reduce la cantidad de solicitudes a AWS KMS hasta en un 99 %, lo que optimiza tanto el rendimiento como los costos.

Integración de AWS CloudTrail – Puede auditar las acciones de SSE-KMS en objetos de S3 Express One Zone mediante AWS CloudTrail. Obtenga más información al respecto en mi publicación de blog anterior.

Elí.

Fuente

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La versión beta 4 de iOS 18.1 amplía la grabación y transcripción de llamadas telefónicas a algunos modelos de iPhone más antiguos
política de privacidad

Un estudio revela que miles de extensiones de navegador comprometen los datos de los usuarios