As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Melhores práticas de criptografia para o Amazon S3
<a name="s3"></a>

O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.

Para a criptografia do lado do servidor no Amazon S3, há três opções:
+ [Criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)
+ [Criptografia do lado do servidor com AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)
+ [Criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)

O Amazon S3 aplica criptografia no lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. O status de criptografia automática para a configuração de criptografia padrão do bucket S3 e para novos carregamentos de objetos está disponível em AWS CloudTrail logs, S3 Inventory, S3 Storage Lens, console Amazon S3 e como um cabeçalho adicional de resposta da API Amazon S3 em () e. AWS Command Line Interface AWS CLI AWS SDKs Para obter mais informações, consulte [Perguntas frequentes sobre criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Se a criptografia do lado do servidor for usada para criptografar um objeto no momento do upload, adicione o cabeçalho `x-amz-server-side-encryption` à solicitação para que o Amazon S3 criptografe o objeto usando SSE-S3, SSE-KMS ou SSE-C. Os possíveis valores para o cabeçalho `x-amz-server-side-encryption` são:
+ `AES256`, que instrui o Amazon S3 a usar chaves gerenciadas pelo Amazon S3.
+ `aws:kms`, que instrui o Amazon S3 a usar chaves AWS KMS gerenciadas.
+ Definir o valor como `True` ou `False` para SSE-C

Para obter mais informações, consulte o *Defense-in-depth requisito 1: Os dados devem ser criptografados em repouso e durante o trânsito* em [Como usar políticas de bucket e aplicar Defense-in-Depth para ajudar a proteger seus dados do Amazon S3](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/) (postagem AWS no blog).

Para a [criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) no Amazon S3, há duas opções:
+ Uma chave armazenada em AWS KMS
+ Uma chave armazenada na aplicação

Considere as seguintes práticas recomendadas de criptografia para esse serviço:
+ Em AWS Config, implemente a regra [bucket-server-side-encryption AWS gerenciada habilitada para s3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) para validar e aplicar a criptografia do bucket S3.
+ Implante uma política de bucket do Amazon S3 que valide que todos os objetos que estão sendo carregados sejam criptografados usando a condição `s3:x-amz-server-side-encryption`. Para obter mais informações, consulte o exemplo de política de bucket em [Proteger dados usando SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) e as instruções em [Adicionar uma política de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
+ Permita que somente conexões criptografadas por HTTPS (TLS) usando a condição `aws:SecureTransport` nas políticas de bucket do S3. Para obter mais informações, consulte [Qual política de bucket do S3 devo usar para cumprir a AWS Config regra s3-](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/)? bucket-ssl-requests-only
+ Em AWS Config, implemente a regra bucket-ssl-requests-only AWS gerenciada por [s3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) para exigir que as solicitações usem SSL.
+ Use uma chave gerenciada pelo cliente quando for necessário conceder acesso entre contas a objetos do Amazon S3. Configure a política de chaves para permitir o acesso de outra Conta da AWS.