View a markdown version of this page

Utilizzo della crittografia lato server con chiavi gestite di Amazon S3 () SSE-S3 - Amazon Simple Storage Service
Supporto API per la crittografia lato server

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server con chiavi gestite di Amazon S3 () SSE-S3

Importante

Amazon S3 ora applica la crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva negli SDK and. AWS CLI AWS Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.

Tutti i nuovi caricamenti di oggetti sui bucket Amazon S3 sono crittografati per impostazione predefinita con crittografia lato server con chiavi gestite di Amazon S3 (). SSE-S3

Server-side la crittografia protegge i dati inattivi. Amazon S3 crittografa ogni oggetto con una chiave univoca. Come ulteriore tutela, crittografa la chiave con una chiave che ruota con regolarità. La crittografia lato server di Amazon S3 utilizza la Galois/Counter modalità Advanced Encryption Standard a 256 bit (AES-GCM) per crittografare tutti gli oggetti caricati.

Non sono previsti costi aggiuntivi per l'utilizzo della crittografia lato server con le chiavi gestite di Amazon S3 (). SSE-S3 Tuttavia, per le richieste di configurare la funzione di crittografia predefinita vengono applicati i costi delle richieste Amazon S3 standard. Per informazioni sui prezzi, consulta Prezzi di Amazon S3.

Se desideri che i tuoi caricamenti di dati siano crittografati utilizzando solo le chiavi gestite da Amazon S3, puoi utilizzare la seguente policy dei bucket. Ad esempio, la seguente policy del bucket rifiuta le autorizzazioni al caricamento di un oggetto a meno che la richiesta non includa l'intestazione x-amz-server-side-encryption per richiedere la codifica lato server:

JSON
{
  "Version":"2012-10-17",
  "Id": "PutObjectPolicy",
  "Statement": [
    {
      "Sid": "DenyObjectsThatAreNotSSES3",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    }
   ]
}
Nota

Server-side la crittografia crittografa solo i dati dell'oggetto, non i metadati dell'oggetto.

Nota

La chiave di s3:x-amz-server-side-encryption condizione utilizzata nelle policy dei bucket è uno spazio dei nomi delle chiavi di condizione IAM e si differenzia dall'intestazione HTTP mostrata nei x-amz-server-side-encryption log. CloudTrail Entrambi fanno riferimento alla stessa impostazione di crittografia, ma utilizzano formati diversi. Inoltre, questa policy Deny potrebbe bloccare le scritture (come i log di accesso Elastic Load Balancing o i log di CloudFront Amazon) che consegnano oggetti al bucket senza specificare l'intestazione di crittografia.

Supporto API per la crittografia lato server

Tutti i bucket Amazon S3 hanno la crittografia configurata di default e tutti i nuovi oggetti caricati in un bucket S3 vengono crittografati automaticamente quando sono inattivi. Server-side la crittografia con chiavi gestite di Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket in Amazon S3. Per utilizzare un diverso tipo di crittografia, puoi specificare il tipo di crittografia lato server da utilizzare nelle richieste PUT S3 oppure aggiornare la configurazione di crittografia predefinita nel bucket di destinazione.

Se desideri specificare un tipo di crittografia diverso nelle tue PUT richieste, puoi utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) keys (), la crittografia lato server a doppio livello con chiavi (SSE-KMS) o la crittografia lato server con AWS KMS chiavi (DSSE-KMS). SSE-C Se desideri impostare una configurazione di crittografia predefinita diversa nel bucket di destinazione, puoi usare o. SSE-KMS DSSE-KMS

Per ulteriori informazioni su come modificare la configurazione di crittografia predefinita per i bucket per uso generico, consulta Configurazione della crittografia predefinita.

Quando modifichi la configurazione di crittografia predefinita del bucket in SSE-KMS, il tipo di crittografia degli oggetti Amazon S3 esistenti nel bucket non viene modificato. Per modificare il tipo di crittografia degli oggetti preesistenti dopo aver aggiornato la configurazione di crittografia predefinita a SSE-KMS, puoi utilizzare Amazon S3 Batch Operations. Si fornisce a Operazioni in batch S3 un elenco di oggetti e Operazioni in batch richiama la rispettiva operazione API. Puoi utilizzare l'Copia oggettiazione per copiare oggetti esistenti, che quindi li riscrive nello stesso bucket degli oggetti crittografati SSE-KMS . Un solo processo di operazioni in batch può eseguire l'operazione specificata su miliardi di oggetti. Per ulteriori informazioni, consulta Esecuzione di operazioni sugli oggetti in blocco con le operazioni in batch e il post Come crittografare retroattivamente gli oggetti esistenti in Amazon S3 utilizzando Inventario S3, Amazon Athena e Operazioni in batch S3 nel Blog dell’archiviazione AWS .

Per configurare la crittografia lato server utilizzando le REST API della creazione dell'oggetto, devi fornire l'intestazione della richiesta x-amz-server-side-encryption. Per ulteriori informazioni sulle APIs REST, consulta Utilizzo della REST API.

Le seguenti API Amazon S3 supportano questa intestazione:

  • Operazioni PUT: specifica l'intestazione della richiesta quando si caricano i dati utilizzando l'API PUT. Per ulteriori informazioni, consulta PUT Object.

  • Avvia caricamento in più parti: specifica l'intestazione nella richiesta di avvio quando si caricano oggetti di grandi dimensioni utilizzando l'API per il caricamento in più parti. Per ulteriori informazioni, consulta Initiate Multipart Upload.

  • Operazione COPY: l'operazione di copia di un oggetto coinvolge un oggetto di origine e un oggetto di destinazione. Per ulteriori informazioni, consulta PUT Object - Copy.

Nota

Quando si utilizza un'operazione POST per caricare un oggetto anziché l'intestazione della richiesta, si specificano le stesse informazioni nei campi del modulo. Per ulteriori informazioni, consulta POST Object.

Gli AWS SDK forniscono anche API wrapper che puoi utilizzare per richiedere la crittografia lato server. Puoi anche utilizzare il per caricare oggetti e richiedere la crittografia Console di gestione AWS lato server.

Per ulteriori informazioni generali, consulta Concetti di AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .

Argomenti