Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione dei dati con la crittografia
Importante
Amazon S3 ora applica la crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva negli SDK and. AWS CLI AWS Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.
La protezione dei dati ha lo scopo di proteggere i dati sia in transito (durante la trasmissione verso e da Amazon S3), sia quando sono a riposo (ovvero quando sono archiviati su disco nei data center Amazon S3). Puoi proteggere i dati in transito utilizzando Secure Socket Layer Security ()SSL/TLS, incluso Layer/Transport lo scambio di chiavi post-quantistiche ibrido o la crittografia lato client. Per la protezione dei dati a riposo in Amazon S3 sono disponibili le opzioni seguenti:
-
Server-side crittografia: Amazon S3 crittografa gli oggetti prima di salvarli su dischi nei data AWS center e quindi decrittografa gli oggetti quando li scarichi.
Tutti i bucket Amazon S3 hanno la crittografia configurata di default e tutti i nuovi oggetti caricati in un bucket S3 vengono crittografati automaticamente quando sono inattivi. Server-side la crittografia con chiavi gestite di Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket in Amazon S3. Per utilizzare un diverso tipo di crittografia, puoi specificare il tipo di crittografia lato server da utilizzare nelle richieste
PUTS3 oppure aggiornare la configurazione di crittografia predefinita nel bucket di destinazione.Se desideri specificare un tipo di crittografia diverso nelle tue
PUTrichieste, puoi utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) keys (), la crittografia lato server a doppio livello con chiavi (SSE-KMS) o la crittografia lato server con AWS KMS chiavi (DSSE-KMS). SSE-C Se desideri impostare una configurazione di crittografia predefinita diversa nel bucket di destinazione, puoi usare o. SSE-KMS DSSE-KMSPer ulteriori informazioni su come modificare la configurazione di crittografia predefinita per i bucket per uso generico, consulta Configurazione della crittografia predefinita.
Quando modifichi la configurazione di crittografia predefinita del bucket in SSE-KMS, il tipo di crittografia degli oggetti Amazon S3 esistenti nel bucket non viene modificato. Per modificare il tipo di crittografia degli oggetti preesistenti dopo aver aggiornato la configurazione di crittografia predefinita a SSE-KMS, puoi utilizzare Amazon S3 Batch Operations. Si fornisce a Operazioni in batch S3 un elenco di oggetti e Operazioni in batch richiama la rispettiva operazione API. Puoi utilizzare l'Copia oggettiazione per copiare oggetti esistenti, che quindi li riscrive nello stesso bucket degli oggetti crittografati SSE-KMS . Un solo processo di operazioni in batch può eseguire l'operazione specificata su miliardi di oggetti. Per ulteriori informazioni, consulta Esecuzione di operazioni sugli oggetti in blocco con le operazioni in batch e il post Come crittografare retroattivamente gli oggetti esistenti in Amazon S3 utilizzando Inventario S3, Amazon Athena e Operazioni in batch S3
nel Blog dell’archiviazione AWS . Per ulteriori informazioni su ogni opzione della crittografia lato server, consulta Protezione dei dati con la crittografia lato server.
Per configurare la crittografia lato server, consulta:
-
Specificazione della crittografia lato server con chiavi gestite Amazon S3 () SSE-S3
-
Specificare la crittografia lato server con AWS KMS (SSE-KMS)
-
Specificare la crittografia lato server a doppio livello con AWS KMS chiavi DSSE-KMS ()
-
Specificazione della crittografia lato server con chiavi fornite dal cliente () SSE-C
-
-
Client-side crittografia: crittografi i dati lato client e carichi i dati crittografati su Amazon S3. In questo caso, è l'utente a gestire il processo di crittografia, nonché le chiavi e gli strumenti correlati.
Per configurare la crittografia lato client, vedi Protezione dei dati con la crittografia lato client.
Per vedere quale percentuale di byte di archiviazione crittografati, puoi utilizzare i parametri di Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti. Per ulteriori informazioni, consulta Valutazione dell'attività e dell'utilizzo dello storage con S3 Storage Lens. Per un elenco completo dei parametri, consulta Glossario dei parametri di S3 Storage.
Per ulteriori informazioni sulla crittografia lato server, sulla crittografia lato client e sulla crittografia in transito, consulta i seguenti argomenti.