Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3
Importante
Amazon S3 ora applica la crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva negli SDK and. AWS CLI AWS Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.
Tutti i bucket Amazon S3 hanno la crittografia configurata di default e gli oggetti vengono crittografati automaticamente utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (). SSE-S3 Questa impostazione di crittografia si applica a tutti gli oggetti nei bucket Amazon S3.
Se hai bisogno di un maggiore controllo sulle chiavi, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi scegliere di utilizzare la crittografia lato server con () keys AWS Key Management Service (AWS KMS) o la crittografia lato server a doppio livello con chiavi (SSE-KMS). AWS KMS DSSE-KMS Per ulteriori informazioni sulla modifica delle chiavi KMS, consulta Modifica delle chiavi nella Guida per gli sviluppatori di AWS Key Management Service .
Nota
Abbiamo modificato i bucket per crittografare automaticamente i caricamenti di nuovi oggetti. Se in precedenza hai creato un bucket senza crittografia predefinita, Amazon S3 abiliterà la crittografia per impostazione predefinita per il bucket utilizzato. SSE-S3 Non ci saranno modifiche alla configurazione di crittografia predefinita per un bucket esistente che lo ha già o è configurato. SSE-S3 SSE-KMS Se desideri crittografare i tuoi oggetti con SSE-KMS, devi modificare il tipo di crittografia nelle impostazioni del bucket. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con AWS KMS chiavi () SSE-KMS.
Quando configuri il bucket per utilizzare la crittografia predefinita SSE-KMS, puoi anche abilitare S3 Bucket Keys per ridurre il traffico delle richieste da Amazon S3 AWS KMS e ridurre il costo della crittografia. Per ulteriori informazioni, consulta Riduzione dei costi SSE-KMS con Amazon S3 Bucket Keys.
Per identificare i bucket che hanno SSE-KMS abilitato la crittografia predefinita, puoi utilizzare i parametri di Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti. Per ulteriori informazioni, consulta Utilizzo di S3 Storage Lens per proteggere i dati.
Quando utilizzi la crittografia lato server, Amazon S3 esegue la crittografia di un oggetto prima di salvarlo su disco e lo decritta al momento del download. Per ulteriori informazioni sulla protezione dei dati mediante la crittografia lato server e la gestione delle chiavi di crittografia, consulta Protezione dei dati con la crittografia lato server.
Per ulteriori informazioni sulle autorizzazioni richieste per la crittografia predefinita, consulta PutBucketEncryption nella Documentazione di riferimento delle API di Amazon Simple Storage Service.
Puoi configurare il comportamento di crittografia predefinito di Amazon S3 per un bucket S3 utilizzando la console Amazon S3, gli SDK AWS , l'API REST di Amazon S3 e l'interfaccia a riga di comando (). AWS AWS CLI
Crittografia di oggetti esistenti
Per crittografare gli oggetti Amazon S3 non crittografati esistenti, puoi utilizzare la funzionalità Operazioni in batch Amazon S3. Si fornisce a Operazioni in batch S3 un elenco di oggetti su cui operare e Operazioni in batch chiama le rispettive API per eseguire l'operazione specificata. È possibile utilizzare l'operazione di copia delle operazioni in batch per copiare gli oggetti non crittografati esistenti e scrivere i nuovi oggetti crittografati nello stesso bucket. Un solo processo di operazioni in batch può eseguire l'operazione specificata su miliardi di oggetti. Per ulteriori informazioni, consulta Esecuzione di operazioni sugli oggetti in blocco con le operazioni in batch e il post del Blog sull'archiviazione di AWS Crittografia di oggetti Amazon S3 esistenti con le operazioni in batch di Amazon S3
Puoi anche crittografare gli oggetti esistenti utilizzando l'operazione API o il comando. CopyObject copy-object AWS CLI Per ulteriori informazioni, consulta il post del Blog sull'archiviazione di AWS Crittografia di oggetti Amazon S3 esistenti con AWS CLI l
Importante
Se il bucket è una destinazione di destinazione per la consegna dei log di accesso al server, il bucket deve utilizzare le chiavi gestite di Amazon S3 (). SSE-S3 Se il bucket di destinazione utilizza la crittografia SSE-KMS predefinita, è possibile che gli oggetti di log vengano creati ma crittografati con una chiave a cui non puoi accedere.
Utilizzo della SSE-KMS crittografia per le operazioni tra account
Quando si utilizza la crittografia per operazioni multi-account, tieni presente quanto segue:
-
Se non viene fornito un AWS KMS key Amazon Resource Name (ARN) o un alias al momento della richiesta o tramite la configurazione di crittografia predefinita del bucket, viene utilizzata la Chiave gestita da AWS ()
aws/s3. -
Se stai caricando o accedendo a oggetti S3 utilizzando principi AWS Identity and Access Management (IAM) che sono gli stessi Account AWS della tua chiave KMS, puoi usare il (). Chiave gestita da AWS
aws/s3 -
Se desideri concedere l'accesso multi-account agli oggetti S3, utilizza una chiave gestita dal cliente. È possibile configurare la policy di una chiave gestita dal cliente per consentire l'accesso da un altro account.
-
Se si specifica una chiave KMS gestita dal cliente, si consiglia di utilizzare un ARN della chiave KMS completamente qualificato. Se invece utilizzi un alias di chiave KMS, AWS KMS risolve la chiave all'interno dell'account del richiedente. Ciò potrebbe comportare la crittografia dei dati con una chiave KMS di proprietà del richiedente e non del proprietario del bucket.
-
È necessario specificare una chiave per cui il richiedente ha ottenuto l'autorizzazione
Encrypt. Per ulteriori informazioni, consulta l'argomento relativo all'autorizzazione concessa agli utenti delle chiavi di utilizzare una chiave KMS per le operazioni di crittografia nella Guida per gli sviluppatori di AWS Key Management Service .
Per ulteriori informazioni su quando utilizzare le chiavi gestite dal cliente e le chiavi KMS AWS gestite, consulta Devo usare una chiave Chiave gestita da AWS o una chiave gestita dal cliente per crittografare i miei oggetti in Amazon S3
Utilizzo della codifica predefinita con la replica
Una volta abilitata la crittografia predefinita per un bucket di destinazione della replica, si applica il seguente comportamento di crittografia:
-
Se gli oggetti nel bucket di origine non sono crittografati, gli oggetti replicati nel bucket di destinazione vengono crittografati in base alle impostazioni di crittografia predefinita del bucket di destinazione. Di conseguenza, i tag di entità (ETag) degli oggetti di origine differiscono dagli ETag degli oggetti di replica. Se disponi di applicazioni che utilizzano ETag, devi aggiornarle per tenere conto di questa differenza.
-
Se gli oggetti nel bucket di origine sono crittografati utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3), la crittografia lato server con () keys AWS Key Management Service (AWS KMS) o la crittografia lato server a doppio livello con AWS KMS chiavi (SSE-KMS), gli oggetti di replica nel bucket di destinazione utilizzano lo stesso tipo di crittografia degli oggetti di origine. DSSE-KMS Le impostazioni della crittografia predefinita del bucket di destinazione non vengono utilizzate.
SSE-KMSPer Replica di oggetti crittografati ulteriori informazioni sull'utilizzo della crittografia predefinita con, consulta.
Utilizzo di chiavi bucket Amazon S3 con crittografia predefinita
Quando configuri il bucket per utilizzarlo SSE-KMS come comportamento di crittografia predefinito per nuovi oggetti, puoi anche configurare S3 Bucket Keys. Le S3 Bucket Keys riducono il numero di transazioni da Amazon S3 AWS KMS per ridurre i costi di. SSE-KMS
Quando configuri il bucket per utilizzare S3 Bucket Keys SSE-KMS su nuovi oggetti, AWS KMS genera una chiave a livello di bucket che viene utilizzata per creare una chiave dati unica per gli oggetti nel bucket. Questa S3 Bucket Key viene utilizzata per un periodo di tempo limitato all'interno di Amazon S3, riducendo la necessità per Amazon S3 di effettuare richieste per completare le operazioni di crittografia. AWS KMS
Per ulteriori informazioni sull'utilizzo delle chiavi del bucket S3, consulta la sezione Utilizzo di chiavi bucket Amazon S3.