¿Cuáles son las consideraciones de la seguridad en S3?
- Por default todos los nuevos buckets son privados.
- Es posible asignar políticas de seguridad a los buckets.
- Es posible asignar listas de control a objetos individuales.
- Los buckets pueden ser configurados para generar access logs que contienen la información de todas las peticiones realizadas a los propios buckets y guardados en otros buckets.
¿Qué tipos de encriptación existen en S3?
Encriptación in transit (SSL/SST)
Este tipo de encriptación se lleva acabo en la comunicación entre tu equipo y el bucket. Este tipo de encriptación utiliza SSL/TLS.
Encriptación at rest
Hay dos tipos de encriptación.
Server Side Encription (Encriptación del lado del servidor)
Hay 3 tipos de encriptación del lado del servidor.
“S3 Managed Keys” (SSE-S3)
- Es la de uso mas común.
- Cada objeto es encriptado con su clave única utilizando una fuerte encriptación multifactor.
- La llave única mediante llave maestra que se rota periódicamente.
- Utiliza encriptación avanzada de 256 bits.
- Solo se da clic en el archivo y se encripta.
AWS Key Management Service, Managed Keys (SSE-KMS)
- Similar a SSE-S3.
- Añade protección adicional contra acceso no autorizado a los objetos mediante un envelope key.
- Provee información acerca de cuando la llave fue utilizada y por quien.
- Se pueden crear llaves personalizadas o default basadas en la combinación de región y servicio que se esta utilizando.
Server Side Encryption With Customer Provider Keys (SSE-C)
- El usuario administra las llaves de encriptación.
- AWS administra la encriptación cuando escribe o lee los datos de los objetos.
Client Side Encription (Encriptación del lado del cliente)
Los datos se encriptan en el cliente y se suben a S3.