Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3
<a name="bucket-encryption"></a>

**Importante**  
Amazon S3 ora applica la crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva negli SDK and. AWS CLI AWS Per ulteriori informazioni, consulta [Domande frequenti sulla crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Tutti i bucket Amazon S3 hanno la crittografia configurata di default e gli oggetti vengono crittografati automaticamente utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (). SSE-S3 Questa impostazione di crittografia si applica a tutti gli oggetti nei bucket Amazon S3.

Se hai bisogno di un maggiore controllo sulle chiavi, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi scegliere di utilizzare la crittografia lato server con () keys AWS Key Management Service (AWS KMS) o la crittografia lato server a doppio livello con chiavi (SSE-KMS). AWS KMS DSSE-KMS Per ulteriori informazioni sulla modifica delle chiavi KMS, consulta [Modifica delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/editing-keys.html) nella *Guida per gli sviluppatori di AWS Key Management Service *. 

**Nota**  
Abbiamo modificato i bucket per crittografare automaticamente i caricamenti di nuovi oggetti. Se in precedenza hai creato un bucket senza crittografia predefinita, Amazon S3 abiliterà la crittografia per impostazione predefinita per il bucket utilizzato. SSE-S3 Non ci saranno modifiche alla configurazione di crittografia predefinita per un bucket esistente che lo ha già o è configurato. SSE-S3 SSE-KMS Se desideri crittografare i tuoi oggetti con SSE-KMS, devi modificare il tipo di crittografia nelle impostazioni del bucket. Per ulteriori informazioni, consulta [Utilizzo della crittografia lato server con AWS KMS chiavi () SSE-KMS](UsingKMSEncryption.md). 

Quando configuri il bucket per utilizzare la crittografia predefinita SSE-KMS, puoi anche abilitare S3 Bucket Keys per ridurre il traffico delle richieste da Amazon S3 AWS KMS e ridurre il costo della crittografia. Per ulteriori informazioni, consulta [Riduzione dei costi SSE-KMS con Amazon S3 Bucket Keys](bucket-key.md).

Per identificare i bucket che hanno SSE-KMS abilitato la crittografia predefinita, puoi utilizzare i parametri di Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti. Per ulteriori informazioni, consulta [Utilizzo di S3 Storage Lens per proteggere i dati](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-lens-data-protection.html?icmpid=docs_s3_user_guide_bucket-encryption.html).

Quando utilizzi la crittografia lato server, Amazon S3 esegue la crittografia di un oggetto prima di salvarlo su disco e lo decritta al momento del download. Per ulteriori informazioni sulla protezione dei dati mediante la crittografia lato server e la gestione delle chiavi di crittografia, consulta [Protezione dei dati con la crittografia lato server](serv-side-encryption.md).

Per ulteriori informazioni sulle autorizzazioni richieste per la crittografia predefinita, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) nella *Documentazione di riferimento delle API di Amazon Simple Storage Service*.

Puoi configurare il comportamento di crittografia predefinito di Amazon S3 per un bucket S3 utilizzando la console Amazon S3, gli SDK AWS , l'API REST di Amazon S3 e l'interfaccia a riga di comando (). AWS AWS CLI

**Crittografia di oggetti esistenti**  
Per crittografare gli oggetti Amazon S3 non crittografati esistenti, puoi utilizzare la funzionalità Operazioni in batch Amazon S3. Si fornisce a Operazioni in batch S3 un elenco di oggetti su cui operare e Operazioni in batch chiama le rispettive API per eseguire l'operazione specificata. È possibile utilizzare l'operazione di [copia delle operazioni in batch](https://docs.aws.amazon.com/AmazonS3/latest/userguide/batch-ops-copy-object.html) per copiare gli oggetti non crittografati esistenti e scrivere i nuovi oggetti crittografati nello stesso bucket. Un solo processo di operazioni in batch può eseguire l'operazione specificata su miliardi di oggetti. Per ulteriori informazioni, consulta [Esecuzione di operazioni sugli oggetti in blocco con le operazioni in batch](batch-ops.md) e il post del *Blog sull'archiviazione di AWS * [Crittografia di oggetti Amazon S3 esistenti con le operazioni in batch di Amazon S3](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/).

Puoi anche crittografare gli oggetti esistenti utilizzando l'operazione API o il comando. `CopyObject` `copy-object` AWS CLI Per ulteriori informazioni, consulta il post del *Blog sull'archiviazione di AWS * [Crittografia di oggetti Amazon S3 esistenti con AWS CLI l](https://aws.amazon.com/blogs/storage/encrypting-existing-amazon-s3-objects-with-the-aws-cli/).

**Importante**  
Se il bucket è una destinazione di destinazione per la consegna dei log di accesso al server, il bucket deve utilizzare le chiavi gestite di Amazon S3 (). SSE-S3 Se il bucket di destinazione utilizza la crittografia SSE-KMS predefinita, è possibile che gli oggetti di log vengano creati ma crittografati con una chiave a cui non puoi accedere.

## Utilizzo della SSE-KMS crittografia per le operazioni tra account
<a name="bucket-encryption-update-bucket-policy"></a>

Quando si utilizza la crittografia per operazioni multi-account, tieni presente quanto segue:
+ Se non viene fornito un AWS KMS key Amazon Resource Name (ARN) o un alias al momento della richiesta o tramite la configurazione di crittografia predefinita del bucket, viene utilizzata la Chiave gestita da AWS ()`aws/s3`.
+ Se stai caricando o accedendo a oggetti S3 utilizzando principi AWS Identity and Access Management (IAM) che sono gli stessi Account AWS della tua chiave KMS, puoi usare il (). Chiave gestita da AWS `aws/s3` 
+ Se desideri concedere l'accesso multi-account agli oggetti S3, utilizza una chiave gestita dal cliente. È possibile configurare la policy di una chiave gestita dal cliente per consentire l'accesso da un altro account.
+ Se si specifica una chiave KMS gestita dal cliente, si consiglia di utilizzare un ARN della chiave KMS completamente qualificato. Se invece utilizzi un alias di chiave KMS, AWS KMS risolve la chiave all'interno dell'account del richiedente. Ciò potrebbe comportare la crittografia dei dati con una chiave KMS di proprietà del richiedente e non del proprietario del bucket.
+ È necessario specificare una chiave per cui il richiedente ha ottenuto l'autorizzazione `Encrypt`. Per ulteriori informazioni, consulta l'argomento relativo all'[autorizzazione concessa agli utenti delle chiavi di utilizzare una chiave KMS per le operazioni di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto) nella *Guida per gli sviluppatori di AWS Key Management Service *.

Per ulteriori informazioni su quando utilizzare le chiavi gestite dal cliente e le chiavi KMS AWS gestite, consulta [Devo usare una chiave Chiave gestita da AWS o una chiave gestita dal cliente per crittografare i miei oggetti in Amazon S3](https://aws.amazon.com/premiumsupport/knowledge-center/s3-object-encryption-keys/)?

## Utilizzo della codifica predefinita con la replica
<a name="bucket-encryption-replication"></a>

Una volta abilitata la crittografia predefinita per un bucket di destinazione della replica, si applica il seguente comportamento di crittografia:
+ Se gli oggetti nel bucket di origine non sono crittografati, gli oggetti replicati nel bucket di destinazione vengono crittografati in base alle impostazioni di crittografia predefinita del bucket di destinazione. Di conseguenza, i tag di entità (ETag) degli oggetti di origine differiscono dagli ETag degli oggetti di replica. Se disponi di applicazioni che utilizzano ETag, devi aggiornarle per tenere conto di questa differenza.
+ Se gli oggetti nel bucket di origine sono crittografati utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3), la crittografia lato server con () keys AWS Key Management Service (AWS KMS) o la crittografia lato server a doppio livello con AWS KMS chiavi (SSE-KMS), gli oggetti di replica nel bucket di destinazione utilizzano lo stesso tipo di crittografia degli oggetti di origine. DSSE-KMS Le impostazioni della crittografia predefinita del bucket di destinazione non vengono utilizzate.

 SSE-KMSPer [Replica di oggetti crittografati](replication-config-for-kms-objects.md) ulteriori informazioni sull'utilizzo della crittografia predefinita con, consulta.

## Utilizzo di chiavi bucket Amazon S3 con crittografia predefinita
<a name="bucket-key-default-encryption"></a>

Quando configuri il bucket per utilizzarlo SSE-KMS come comportamento di crittografia predefinito per nuovi oggetti, puoi anche configurare S3 Bucket Keys. Le S3 Bucket Keys riducono il numero di transazioni da Amazon S3 AWS KMS per ridurre i costi di. SSE-KMS 

[Quando configuri il bucket per utilizzare S3 Bucket Keys SSE-KMS su nuovi oggetti, AWS KMS genera una chiave a livello di bucket che viene utilizzata per creare una chiave dati unica per gli oggetti nel bucket.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) Questa S3 Bucket Key viene utilizzata per un periodo di tempo limitato all'interno di Amazon S3, riducendo la necessità per Amazon S3 di effettuare richieste per completare le operazioni di crittografia. AWS KMS 

Per ulteriori informazioni sull'utilizzo delle chiavi del bucket S3, consulta la sezione [Utilizzo di chiavi bucket Amazon S3](bucket-key.md).