Obsługa szyfrowania KMS na zasobach S3 używanych przez AWS Config
Usługa AWS Config wspiera już możliwość korzystania z klucza AWS Key Management Service (KMS) lub podanego aliasu Amazon Resource Name (ARN), do szyfrowania danych dostarczanych do Amazon Simple Storage Service (S3).
Domyślnie AWS Config dostarcza historię konfiguracji oraz migawki plików do kontenera S3 oraz szyfruje dane w spoczynku za pomocą szyfrowania S3 AES-256 po stronie serwera (SSE-S3).
Aby rozpocząć należy utworzyć klucz KMS oraz skonfigurować go z uprawnieniami GenerateDataKey oraz Decrypt. Następnie należy wprowadzić klucz KMS do AWS Config wywołując metodę API PutDeliveryChannel z kluczem S3 KMS, ARN lub aliasem ARN. Obiekty dostarczone do kontenera S3 zostaną zaszyfrowane przy użyciu szyfrowania typu server-side za pomocą zestawów KMS CMK. Jeśli krok podania klucza KMS lub aliasu zostanie pominięty, AWS Config domyślnie szyfruje dostarczone dane za pomocą szyfrowania AES-256.
Obsługa szyfrowania KMS w kontenerach S3 używanych przez AWS Config jest dostępna bez dodatkowych kosztów we wszystkich Regionach AWS i AWS GovCloud (USA).
Aby uzyskać więcej informacji na temat AWS Config, warto odwiedzić główną stronę AWS Config.
Więcej informacji na temat tworzenia i konfigurowania usługi zarządzania kluczami AWS (AWS KMS) można znaleźć w dokumentacji usługi AWS Key Management Service Documentation.
źródło: AWS