Aggiorna la crittografia degli oggetti - Amazon Simple Storage Service
Restrizioni e considerazioniAutorizzazioni richieste

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiorna la crittografia degli oggetti

È possibile utilizzare Operazioni in batch Amazon S3 per eseguire operazioni in batch su larga scala su oggetti Amazon S3. L'UpdateObjectEncryptionoperazione Batch Operations aggiorna il tipo di crittografia lato server di più di un oggetto Amazon S3 con una singola richiesta. Un singolo processo UpdateObjectEncryption operativo può supportare un manifesto con un massimo di 20 miliardi di oggetti.

L'UpdateObjectEncryptionoperazione è supportata per tutte le classi di storage Amazon S3 supportate da bucket generici. Puoi utilizzare l'UpdateObjectEncryptionoperazione per modificare gli oggetti crittografati dalla crittografia lato server con chiavi gestite Amazon S3 (SSE-S3) a chiavi Key Management Service ()AWS KMS(SSE-KMS) o AWS per applicare S3 Bucket Keys. Puoi anche utilizzare l'UpdateObjectEncryptionoperazione per modificare la chiave KMS gestita dal cliente utilizzata per crittografare i dati in modo da rispettare gli standard personalizzati di rotazione delle chiavi.

Quando si crea un processo Batch Operations, è possibile generare un elenco di oggetti in base alla posizione di origine e ai criteri di filtro specificati. È possibile utilizzare il MatchAnyObjectEncryption filtro per generare un elenco di oggetti dal bucket che si desidera aggiornare e includere nel manifest. L'elenco di oggetti generato include solo oggetti bucket di origine con il tipo di crittografia lato server indicato. Se selezioni SSE-KMS, puoi facoltativamente filtrare ulteriormente i risultati specificando uno specifico stato di abilitazione KMS Key ARN e Bucket Key. Per ulteriori informazioni, consulta JobManifestGeneratorFiltere SSEKMSFilter consulta Amazon S3API Reference.

Restrizioni e considerazioni

Quando si utilizza l'operazione Batch UpdateObjectEncryption Operations, si applicano le seguenti restrizioni e considerazioni:

  • L'UpdateObjectEncryptionoperazione non supporta oggetti non crittografati o oggetti crittografati con crittografia lato server a doppio livello con AWS KMS keys (DSSE-KMS) o chiavi di crittografia fornite dal cliente (SSE-C). Inoltre, UpdateObjectEncryption non è possibile specificare una richiesta di tipo di crittografia SSE-S3.

  • È possibile utilizzare l'UpdateObjectEncryptionoperazione per aggiornare gli oggetti nei bucket con S3 Versioning abilitato. Per aggiornare il tipo di crittografia di una particolare versione, è necessario specificare un ID di versione nella richiesta. UpdateObjectEncryption Se non specificate l'ID della versione, la UpdateObjectEncryption richiesta agisce sulla versione corrente dell'oggetto. Per ulteriori informazioni sulla funzione Controllo delle versioni S3, consulta Conservazione di più versioni degli oggetti con Controllo delle versioni S3.

  • L'UpdateObjectEncryptionoperazione ha esito negativo su qualsiasi oggetto a cui è applicata una modalità di conservazione o un blocco legale di S3 Object Lock. Se un oggetto ha un periodo di conservazione in modalità governance o un blocco legale, devi prima rimuovere lo stato Object Lock sull'oggetto prima di emettere la richiesta. UpdateObjectEncryption Non è possibile utilizzare l'UpdateObjectEncryptionoperazione con oggetti a cui è applicato un periodo di conservazione in modalità di conformità Object Lock. Per ulteriori informazioni sul blocco degli oggetti S3, consulta Blocco di oggetti con Object Lock.

  • UpdateObjectEncryptionle richieste sui bucket di origine con replica live abilitata non avvieranno eventi di replica nel bucket di destinazione. Se desideri modificare il tipo di crittografia degli oggetti sia nei bucket di origine che in quelli di destinazione, devi avviare UpdateObjectEncryption richieste separate sugli oggetti nei bucket di origine e di destinazione.

  • Per impostazione predefinita, tutte le UpdateObjectEncryption richieste che specificano una chiave KMS gestita dal cliente sono limitate alle chiavi KMS di proprietà del proprietario del bucket. Account AWS Se lo utilizzi AWS Organizations, puoi richiedere la possibilità di utilizzare gli account di AWS KMS keys proprietà di altri membri all'interno della tua organizzazione contattando. Supporto AWS

  • Se utilizzi S3 Batch Replication per replicare set di dati su più regioni e in precedenza il tipo di crittografia lato server degli oggetti era stato aggiornato da SSE-S3 a SSE-KMS, potresti aver bisogno di autorizzazioni aggiuntive. Nel bucket kms:decrypt della regione di origine, devi disporre delle autorizzazioni. Quindi, avrai bisogno delle kms:encrypt autorizzazioni kms:decrypt e per il bucket nella regione di destinazione.

  • Fornisci un ARN completo della chiave KMS nella UpdateObjectEncryption tua richiesta. Non puoi usare un nome alias o un alias ARN. Puoi determinare l'ARN completo della chiave KMS nella console AWS KMS o utilizzando l'API AWS KMS. DescribeKey

Per ulteriori informazioni su UpdateObjectEncryption, consultare Aggiornamento della crittografia lato server per i dati esistenti.

Autorizzazioni richieste

Per eseguire l'UpdateObjectEncryptionoperazione, aggiungi la seguente policy AWS Identity and Access Management (IAM) al tuo principale IAM (utente, ruolo o gruppo). Per utilizzare questa policy, sostituiscila amzn-s3-demo-bucket con il nome del bucket che contiene gli oggetti per cui desideri aggiornare la crittografia. Sostituiscilo amzn-s3-demo-manifest-bucket con il nome del bucket che contiene il manifesto e sostituiscilo amzn-s3-demo-completion-report-bucket con il nome del bucket in cui desideri archiviare il rapporto di completamento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3BatchOperationsUpdateEncryption",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:UpdateObjectEncryption"
            ],
            "Resource": [
                 "arn:aws:s3:::amzn-s3-demo-bucket-target"
                "arn:aws:s3:::amzn-s3-demo-bucket-target-target/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForManifestFile",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-manifest/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForCompletionReport",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-completion-report/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyManifestGeneration",
            "Effect": "Allow",
            "Action": [
                "s3:PutInventoryConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-target"
            ]
        },
        {
            "Sid": "AllowKMSOperationsForS3BatchOperations",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": [                "arn:aws:kms:us-east-1:111122223333:key/01234567-89ab-cdef-0123-456789abcdef"
            ]
        }
    ]
}

Per la politica di fiducia e la politica di autorizzazione da associare al ruolo IAM che il responsabile del servizio S3 Batch Operations assume per eseguire i job Batch Operations per tuo conto, consulta e. Concessione di autorizzazioni per le operazioni in batch Aggiorna la crittografia degli oggetti