,

Criptografia S3 + Liberação

Vamos abordar nesse tópico como utilizar o AWS CLI para realizar PUT em um Bucket S3, que está protegido por criptografia KMS, gerenciada pela Amazon.

A criptografia de servidor envolve a proteção de dados em repouso. O AWS Key Management Service (AWS KMS) é um serviço que combina hardware e software seguros e altamente disponíveis para fornecer um sistema de gerenciamento de chave com escalabilidade para a nuvem. O AWS KMS usa chaves mestras (CMKs) do cliente para criptografar objetos do Amazon S3. Você usa o AWS KMS na seção Chaves de criptografia no console do IAM ou nas APIs do AWS KMS para criar centralmente chaves de criptografia, definir as políticas que controlam como as chaves podem ser usadas e auditar o uso de chaves para provar que estão sendo usadas corretamente. Você pode usar essas chaves para proteger seus dados em Buckets do Amazon S3.

Nesse caso vamos criar uma chave teste para habilitar no Bucket.

Para criar siga os seguintes passos dentro do console AWS:

Services > IAM > Encryption Keys> Crate Key

Crie a chave com as opções padrões, selecionando os usuários que iram administrar a chave, conforme imagem abaixo:

Após a criação, vamos habilitar a criptografia no Bucket, selecionando a chave que acabamos de criar.

No bucket selecionado, em Properties > Default Encryption:

REALIZANDO TESTES.

O Bucket: gerdaucriptotest2, não esta com a criptografia habilidade.

Vale ressaltar, que o usuário que estava utilizado no AWS CLI, TEM permissão de “AmazonS3FullAccess”, o usuário pode pode listar os Buckets, pode inserir arquivos em Buckets sem criptografia ( conforme exemplo acima ), porem os que estão protegidos por criptografia, não podem realizar inserção de arquivos no Bucket.

Já o Bucket: gerdaucriptotest, foi habilitado a criptografia, e ao tentar realizar um teste de copia simples:

Esse erro aconteceu, pois é necessário realizar permissão explicita para que o usuário ( credencial ) tenha acesso ao Bucket.

Para adicionar as permissões, acesse o caminho: Services > IAM > Encryption Keys

Selecione a chave que você criou.

Na área de keyuser, clique em ADD para inserir um usuário da conta, ou mas embaixo, você pode por o ARN da conta que irá conectar no Bucket.

E após aplicar a permissão, o acesso é liberado.