Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Prácticas recomendadas de cifrado para Amazon S3
<a name="s3"></a>

[Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.

Para el cifrado del servidor en Amazon S3, hay tres opciones:
+ [Cifrado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)
+ [Cifrado del lado del servidor con AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)
+ [Cifrado del servidor con claves de cifrado proporcionadas por el cliente (SSE-C)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)

Amazon S3 aplica el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) como nivel base de cifrado para cada bucket de Amazon S3. Desde el 5 de enero de 2023, todas las cargas de objetos nuevos a Amazon S3 se cifran automáticamente sin costo adicional y sin afectar al rendimiento. El estado de cifrado automático para la configuración de cifrado predeterminada del bucket S3 y para la carga de nuevos objetos está disponible en AWS CloudTrail los registros, S3 Inventory, S3 Storage Lens, la consola de Amazon S3 y como encabezado de respuesta de la API Amazon S3 adicional en AWS Command Line Interface (AWS CLI) y AWS SDKs. Para obtener más información, consulte [Preguntas frecuentes del cifrado predeterminado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Si se utiliza el cifrado del servidor para cifrar un objeto en el momento de la carga, agregue el encabezado `x-amz-server-side-encryption` a la solicitud a fin de que Amazon S3 cifre el objeto mediante SSE-S3, SSE-KMS o SSE-C. Los siguientes son los valores posibles para el encabezado `x-amz-server-side-encryption`:
+ `AES256`, que le indica a Amazon S3 que utilice las claves administradas por Amazon S3.
+ `aws:kms`, que indica a Amazon S3 que utilice claves AWS KMS administradas.
+ Establecimiento del valor en `True` o `False` para SSE-C

Para obtener más información, consulte el *Defense-in-depth requisito 1: Los datos deben estar cifrados en reposo y durante el tránsito* en [How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/) (entrada del AWS blog).

Para el [cifrado del cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) en Amazon S3, hay dos opciones:
+ Una clave almacenada en AWS KMS
+ Una clave que se almacena en la aplicación

Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:
+ En AWS Config, implemente la regla AWS administrada [bucket-server-side-encryptionhabilitada para S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) para validar y aplicar el cifrado de buckets de S3.
+ Implemente una política de bucket de Amazon S3 que valide que todos los objetos que se cargan se encuentren cifrados mediante la condición `s3:x-amz-server-side-encryption`. Para obtener más información, consulte el ejemplo de política de bucket en [Protección de los datos mediante SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) y las instrucciones en [Adición de una política de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
+ Solo permita conexiones cifradas sobre HTTPS (TLS) mediante la condición `aws:SecureTransport` en las políticas de bucket de S3. Para obtener más información, consulta [¿Qué política de bucket de S3 debo usar para cumplir con la AWS Config regla s3-? bucket-ssl-requests-only](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/)
+ En AWS Config, implemente la regla [bucket-ssl-requests-only AWS administrada por s3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) para exigir que las solicitudes usen SSL.
+ Utilice una clave administrada por el cliente si debe conceder acceso entre cuentas a sus objetos de Amazon S3. Configure la política de claves para que permita el acceso desde otra Cuenta de AWS.