Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Melindungi data dalam perjalanan dengan enkripsi
Amazon S3 mendukung protokol HTTP dan HTTPS untuk transmisi data. HTTP mentransmisikan data dalam teks biasa, sedangkan HTTPS menambahkan lapisan keamanan dengan mengenkripsi data menggunakan Transport Layer Security (TLS). TLS melindungi dari penyadapan, gangguan data, dan serangan. man-in-the-middle Sementara lalu lintas HTTP diterima, sebagian besar implementasi menggunakan enkripsi dalam perjalanan dengan HTTPS dan TLS untuk melindungi data saat bergerak antara klien dan Amazon S3.
## TLS 1.2 dan TLS 1.3 Support
Amazon S3 mendukung TLS 1.2 dan TLS 1.3 untuk koneksi HTTPS di semua titik akhir API untuk semua. Wilayah AWS S3 secara otomatis menegosiasikan perlindungan TLS terkuat yang didukung oleh perangkat lunak klien Anda, dan titik akhir S3 yang Anda akses. AWS Alat saat ini (2014 atau yang lebih baru) termasuk AWS SDKs dan AWS CLI secara otomatis default ke TLS 1.3 tanpa tindakan yang diperlukan di pihak Anda. Anda dapat mengganti negosiasi otomatis ini melalui pengaturan konfigurasi klien untuk menentukan versi TLS tertentu jika kompatibilitas mundur ke TLS 1.2 diperlukan. Saat menggunakan TLS 1.3, Anda dapat secara opsional mengonfigurasi pertukaran kunci kuantum pasca hibrida (ML-KEM) untuk membuat permintaan tahan kuantum ke Amazon S3. Untuk informasi selengkapnya, lihat [Mengkonfigurasi TLS pasca-kuantum hibrida untuk klien Anda](pqtls-how-to.md).
**catatan**
TLS 1.3 didukung di semua titik akhir S3, kecuali untuk Amazon AWS PrivateLink S3 dan Titik Akses Multi-Wilayah.
## Memantau penggunaan TLS
Anda dapat menggunakan log akses server Amazon S3 atau AWS CloudTrail untuk memantau permintaan ke bucket Amazon S3. Kedua opsi logging merekam versi TLS dan cipher suite yang digunakan dalam setiap permintaan.
+ **Log akses server Amazon S3** — Pencatatan akses server menyediakan catatan terperinci untuk permintaan yang dibuat ke bucket. Misalnya, informasi log akses dapat berguna dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat [Server Amazon S3 mengakses format log](LogFormat.md).
+ **AWS CloudTrail**— [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)adalah layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan. CloudTrail menangkap semua panggilan API untuk Amazon S3 sebagai peristiwa. Untuk informasi selengkapnya, lihat [Acara Amazon S3 CloudTrail](cloudtrail-logging-s3-info.md).
## Memberlakukan enkripsi dalam transit
Ini adalah praktik terbaik keamanan untuk menegakkan enkripsi data dalam perjalanan ke Amazon S3. Anda dapat menerapkan komunikasi khusus HTTP atau penggunaan versi TLS tertentu melalui berbagai mekanisme kebijakan. [Ini termasuk kebijakan berbasis sumber daya IAM untuk bucket S3 (kebijakan [bucket), Kebijakan Kontrol Layanan (), Kebijakan](bucket-policies.md)[Kontrol](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)[Sumber Daya (SCPs), dan kebijakan titik akhir VPC](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html). RCPs](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)
### Contoh kebijakan bucket untuk menegakkan enkripsi saat transit
Anda dapat menggunakan [kunci kondisi S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) `s3:TlsVersion` untuk membatasi akses ke bucket Amazon S3 berdasarkan versi TLS yang digunakan oleh klien. Untuk informasi selengkapnya, lihat [Contoh 6: Membutuhkan versi TLS minimum](amazon-s3-policy-keys.md#example-object-tls-version).
**Example kebijakan bucket yang memberlakukan TLS 1.3 menggunakan kunci kondisi `S3:TlsVersion`**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyInsecureConnections",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
],
"Condition": {
"NumericLessThan": {
"s3:TlsVersion": "1.3"
}
}
}
]
}
```
Anda dapat menggunakan [kunci kondisi `aws:SecureTransport` global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam kebijakan bucket S3 untuk memeriksa apakah permintaan dikirim melalui HTTPS (TLS). Berbeda dengan contoh sebelumnya, kondisi ini tidak memeriksa versi TLS tertentu. Untuk informasi selengkapnya, lihat [Batasi Akses Hanya ke Permintaan HTTPS](example-bucket-policies.md#example-bucket-policies-use-case-HTTP-HTTPS-1).
**Example kebijakan bucket yang menerapkan HTTPS menggunakan kunci kondisi `aws:SecureTransport` global**
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictToTLSRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
**Contoh kebijakan berdasarkan kedua kunci dan lebih banyak contoh**
Anda dapat menggunakan kedua jenis kunci kondisi dalam contoh sebelumnya dalam satu kebijakan. Untuk informasi selengkapnya dan pendekatan penegakan hukum tambahan, lihat artikel Blog AWS Penyimpanan [Menerapkan enkripsi saat transit TLS1 dengan.2 atau lebih tinggi dengan Amazon S3](https://aws.amazon.com/blogs/storage/enforcing-encryption-in-transit-with-tls1-2-or-higher-with-amazon-s3/).
# Menggunakan TLS pasca-kuantum hibrida dengan Amazon S3
Amazon S3 mendukung opsi pertukaran kunci pasca-kuantum hibrida untuk protokol enkripsi jaringan TLS. Anda dapat menggunakan opsi TLS ini ketika Anda membuat permintaan ke titik akhir Amazon S3 menggunakan TLS 1.3. Suite sandi klasik yang didukung S3 untuk sesi TLS membuat serangan brute force pada mekanisme pertukaran kunci tidak layak dengan teknologi saat ini. Namun, jika komputer kuantum yang relevan secara kriptografi menjadi praktis di masa depan, rangkaian sandi klasik yang digunakan dalam mekanisme pertukaran kunci TLS akan rentan terhadap serangan ini. Saat ini, industri ini selaras dengan pertukaran kunci pasca-kuantum hibrida yang menggabungkan elemen klasik dan pasca-kuantum untuk memastikan bahwa koneksi TLS Anda setidaknya sekuat dengan suite sandi klasik. Amazon S3 mendukung hibrida PQ-TLS, sesuai dengan spesifikasi standar industri, hari ini IANA
Jika Anda mengembangkan aplikasi yang mengandalkan kerahasiaan jangka panjang data yang melewati koneksi TLS, Anda harus mempertimbangkan rencana untuk bermigrasi ke kriptografi pasca-kuantum sebelum komputer kuantum skala besar tersedia untuk digunakan. Sebagai bagian dari model tanggung jawab bersama, S3 memungkinkan kriptografi aman kuantum pada titik akhir layanan kami. Karena browser dan aplikasi mengaktifkan PQ-TLS di sisinya, S3 akan memilih konfigurasi sekuat mungkin untuk mengamankan data dalam perjalanan.
**Jenis endpoint yang didukung dan Wilayah AWS**
TLS pasca-kuantum untuk Amazon S3 tersedia di semua. Wilayah AWS Untuk daftar titik akhir S3 untuk masing-masing titik Wilayah AWS, lihat titik akhir [Amazon Simple Storage Service dan kuota](https://docs.aws.amazon.com/general/latest/gr/s3.html) di. *Referensi Umum Amazon Web Services*
**catatan**
TLS pasca-kuantum hibrida didukung untuk semua titik akhir S3 kecuali untuk Amazon AWS PrivateLink S3, Titik Akses Multi-Wilayah, dan Vektor S3.
## Menggunakan TLS pasca-kuantum hibrida dengan Amazon S3
Anda harus mengonfigurasi klien yang membuat permintaan ke Amazon S3 untuk mendukung TLS pasca-kuantum hibrida. Saat menyiapkan lingkungan pengujian klien HTTP atau lingkungan produksi Anda, perhatikan informasi berikut:
**Enkripsi dalam Transit**
Hybrid post-quantum TLS hanya digunakan untuk enkripsi saat transit. Ini melindungi data Anda saat bepergian dari klien Anda ke titik akhir S3. Dukungan baru ini dikombinasikan dengan enkripsi sisi server Amazon S3 secara default menggunakan AES-256 algoritme menawarkan enkripsi tahan kuantum kepada pelanggan baik dalam perjalanan maupun saat istirahat. Untuk informasi selengkapnya tentang enkripsi sisi server di Amazon S3, lihat [Melindungi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) data dengan enkripsi sisi server.
**Klien yang Didukung**
Penggunaan TLS pasca-kuantum hibrida membutuhkan penggunaan klien yang mendukung fungsi ini. AWS SDKs dan alat memiliki kemampuan dan konfigurasi kriptografi yang berbeda antar bahasa dan runtime. Untuk mempelajari lebih lanjut tentang kriptografi pasca-kuantum untuk alat tertentu, lihat [Mengaktifkan TLS pasca-kuantum hibrida](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/pqtls-details.html).
**catatan**
Rincian pertukaran kunci PQ-TLS untuk permintaan ke Amazon S3 tidak tersedia dalam AWS CloudTrail peristiwa atau log akses server S3.
## Pelajari lebih lanjut tentang TLS pasca-kuantum
Untuk informasi selengkapnya tentang penggunaan TLS pasca-kuantum hibrida, lihat sumber daya berikut.
+ Untuk mempelajari tentang kriptografi pasca-kuantum di AWS, termasuk tautan ke posting blog dan makalah penelitian, lihat Kriptografi [Pasca-Kuantum](https://aws.amazon.com/security/post-quantum-cryptography/) untuk. AWS
+ Untuk selengkapnyas2n-tls, lihat [Memperkenalkans2n-tls, Implementasi dan [Penggunaan s2n-tls](https://github.com/aws/s2n-tls/tree/main/docs/usage-guide) TLS Open Source Baru](https://aws.amazon.com/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/).
+ *Untuk informasi tentang Klien HTTP Runtime AWS Umum, lihat [Mengonfigurasi klien HTTP AWS berbasis CRT](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) di Panduan Pengembang.AWS SDK for Java 2.x *
+ Untuk informasi tentang proyek kriptografi pasca-kuantum di National Institute for Standards and Technology (NIST), lihat [Kriptografi Pasca Kuantum](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography).
+ Untuk informasi tentang standardisasi kriptografi pasca-kuantum NIST, lihat Standardisasi Kriptografi Pasca-Kuantum [NIST](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization).
# Mengkonfigurasi TLS pasca-kuantum hibrida untuk klien Anda
Untuk menggunakan PQ-TLS dengan Amazon S3, Anda perlu mengonfigurasi klien Anda untuk mendukung algoritme pertukaran kunci pasca-kuantum. Juga pastikan bahwa klien Anda mendukung pendekatan hibrida, yang menggabungkan kriptografi kurva elips tradisional dengan algoritma pasca-kuantum seperti ML-KEM (Mekanisme Enkapsulasi Kunci). Module-Lattice-Based
Konfigurasi spesifik tergantung pada pustaka klien dan bahasa pemrograman Anda. Untuk informasi lebih lanjut, lihat [Mengaktifkan TLS pasca-kuantum hibrida](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/pqtls-details.html).
## Contoh konfigurasi klien: AWS SDK for Java 2
Dalam prosedur ini, tambahkan dependensi Maven untuk AWS Common Runtime HTTP Client. Selanjutnya, konfigurasikan klien HTTP yang lebih memilih TLS pasca-kuantum. Kemudian, buat klien Amazon S3 yang menggunakan klien HTTP.
**catatan**
Klien HTTP Runtime AWS Umum, yang telah tersedia sebagai pratinjau, tersedia secara umum pada Februari 2023. Dalam rilis itu, `tlsCipherPreference` kelas dan parameter `tlsCipherPreference()` metode digantikan oleh parameter `postQuantumTlsEnabled()` metode. Jika Anda menggunakan contoh ini selama pratinjau, Anda perlu memperbarui kode Anda.
1. Tambahkan klien AWS Common Runtime ke dependensi Maven Anda. Sebaiknya gunakan versi terbaru yang tersedia.
Misalnya, pernyataan ini menambahkan versi `2.30.22` klien AWS Common Runtime ke dependensi Maven Anda.
```
software.amazon.awssdk
aws-crt-client
2.30.22
```
1. Untuk mengaktifkan suite sandi pasca-kuantum hibrida, tambahkan AWS SDK for Java 2.x ke proyek Anda dan inisialisasi. Kemudian aktifkan suite sandi pasca-kuantum hibrida pada klien HTTP Anda seperti yang ditunjukkan pada contoh berikut.
Kode ini menggunakan parameter `postQuantumTlsEnabled()` metode untuk mengonfigurasi [klien HTTP runtime AWS umum](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) yang lebih menyukai rangkaian sandi pasca-kuantum hibrida yang direkomendasikan, ECDH dengan. ML-KEM Kemudian menggunakan klien HTTP yang dikonfigurasi untuk membangun instance klien asinkron Amazon S3,. [https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/s3/S3AsyncClient.html](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/s3/S3AsyncClient.html) Setelah kode ini selesai, semua permintaan API [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/API/) pada instance menggunakan TLS `S3AsyncClient` pasca-kuantum hibrida.
**penting**
Mulai v2.35.11, penelepon tidak perlu lagi mengatur untuk mengaktifkan TLS pasca-kuantum hibrida `.postQuantumTlsEnabled(true)` untuk klien Anda. Semua versi yang lebih baru dari v2.35.11 mengaktifkan TLS pasca-kuantum secara default.
```
// Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
.postQuantumTlsEnabled(true)
.build();
// Create the Amazon S3 async client
S3AsyncClient s3Async = S3AsyncClient.builder()
.httpClient(awsCrtHttpClient)
.build();
```
1. Uji panggilan Amazon S3 Anda dengan TLS pasca-kuantum hibrida.
Saat Anda memanggil operasi API Amazon S3 pada klien Amazon S3 yang dikonfigurasi, panggilan Anda ditransmisikan ke titik akhir Amazon S3 menggunakan TLS pasca-kuantum hibrida. Untuk menguji konfigurasi Anda, panggil Amazon S3 API, seperti. `[ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)`
```
ListBucketsResponse reponse = s3Async.listBuckets();
```
### Uji konfigurasi TLS pasca-kuantum hibrida Anda
Pertimbangkan untuk menjalankan pengujian berikut dengan rangkaian cipher hybrid pada aplikasi Anda yang memanggil Amazon S3.
+ Jalankan uji beban dan tolok ukur. Cipher suite hibrida melakukan secara berbeda dari algoritme pertukaran kunci tradisional. Anda mungkin perlu menyesuaikan batas waktu koneksi untuk memungkinkan waktu handshake yang lebih lama. Jika Anda menjalankan di dalam suatu AWS Lambda fungsi, perpanjang pengaturan batas waktu eksekusi.
+ Coba hubungkan dari lokasi yang berbeda. Tergantung jalur jaringan yang dibutuhkan permintaannya, Anda mungkin menemukan bahwa host perantara, proksi, atau firewall dengan deep packet inspection (DPI) memblokir permintaan. Ini mungkin hasil dari penggunaan cipher suite baru di [ClientHello](https://tools.ietf.org/html/rfc5246#section-7.4.1.2)bagian jabat tangan TLS, atau dari pesan pertukaran kunci yang lebih besar. Jika Anda terkendala saat menyelesaikan masalah ini, tanyakan kepada tim keamanan atau administrator IT Anda untuk memperbarui konfigurasi yang relevan dan membuka blokir rangkaian penyandian TLS baru.