Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Utilizzo della crittografia lato server a doppio livello con AWS KMS chiavi DSSE-KMS () L'utilizzo della crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) keys (DSSE-KMS) applica due livelli di crittografia agli oggetti quando vengono caricati su Amazon S3. DSSE-KMS ti aiuta a soddisfare più facilmente gli standard di conformità che richiedono l'applicazione della crittografia multistrato ai tuoi dati e il pieno controllo delle tue chiavi di crittografia. Il «doppio» DSSE-KMS si riferisce a due livelli indipendenti di AES-256 crittografia applicati ai dati: + *Primo livello:* i dati vengono crittografati utilizzando una chiave di crittografia dei dati unica (DEK) generata da AWS KMS + *Secondo livello:* i dati già crittografati vengono nuovamente crittografati utilizzando una chiave di AES-256 crittografia separata gestita da Amazon S3 Questo differisce dallo standard SSE-KMS, che applica solo un singolo livello di crittografia. L’approccio a doppio livello offre una maggiore sicurezza garantendo che, anche se un livello di crittografia fosse compromesso, i dati rimangano protetti dal secondo livello. Questa sicurezza aggiuntiva comporta un aumento del sovraccarico di elaborazione e delle chiamate AWS KMS API, il che rappresenta un costo più elevato rispetto allo standard. SSE-KMS Per ulteriori informazioni sui DSSE-KMS prezzi, consulta [AWS KMS key i concetti](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) nella Guida per gli AWS Key Management Service sviluppatori e [AWS KMS i prezzi](https://aws.amazon.com/kms/pricing). Quando si utilizza DSSE-KMS con un bucket Amazon S3, le AWS KMS chiavi devono trovarsi nella stessa regione del bucket. Inoltre, quando DSSE-KMS viene richiesto per l'oggetto, il checksum S3 che fa parte dei metadati dell'oggetto viene archiviato in forma crittografata. Per ulteriori informazioni sui checksum, consulta [Verifica dell'integrità degli oggetti in Amazon S3](checking-object-integrity.md). **Nota** Le chiavi S3 Bucket non sono supportate per. DSSE-KMS Le differenze principali tra DSSE-KMS e standard SSE-KMS sono: + **Livelli di crittografia:** DSSE-KMS applica due livelli di AES-256 crittografia indipendenti, mentre lo standard SSE-KMS applica un livello + **Sicurezza:** DSSE-KMS offre una protezione avanzata contro potenziali vulnerabilità di crittografia + **Conformità:** DSSE-KMS aiuta a soddisfare i requisiti normativi che impongono la crittografia multistrato + **Prestazioni:** DSSE-KMS ha una latenza leggermente superiore a causa dell'elaborazione di crittografia aggiuntiva + **Costo: DSSE-KMS comporta costi** più elevati a causa dell'aumento del sovraccarico di calcolo e delle operazioni aggiuntive AWS KMS **Richiede una crittografia lato server a doppio livello con AWS KMS keys (DSSE-KMS)** Per richiedere la crittografia lato server a doppio livello di tutti gli oggetti in uno specifico bucket Amazon S3, è possibile utilizzare una policy del bucket. Ad esempio, la seguente policy sui bucket nega l'autorizzazione upload object (`s3:PutObject`) a tutti se la richiesta non include un'`x-amz-server-side-encryption`intestazione che richiede la crittografia lato server. DSSE-KMS ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "PutObjectPolicy", "Statement": [{ "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:root" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms:dsse" } } } ] } ``` ------ **Topics** + [Specificare la crittografia lato server a doppio livello con AWS KMS chiavi DSSE-KMS ()](specifying-dsse-encryption.md)