Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo della crittografia lato server con chiavi fornite dal cliente (SSE-C)
La crittografia lato server consente di proteggere i dati inattivi. La crittografia lato server viene applicata solo ai dati dell'oggetto, non dei metadati dell'oggetto. Puoi utilizzare la crittografia lato server con chiavi fornite dal cliente (SSE-C) nei tuoi bucket generici per crittografare i dati con le tue chiavi di crittografia. Con la chiave di crittografia fornita come parte della richiesta, Amazon S3 gestisce la crittografia dei dati durante le operazioni di scrittura su disco e decrittografia dei dati quando viene eseguito l'accesso agli oggetti. Pertanto, non è necessario mantenere alcun codice per effettuare la crittografia e la decrittografia dei dati. L'unica cosa che rimane da fare è gestire le chiavi di crittografia fornite.
A partire da aprile 2026, SSE-C è disabilitato per impostazione predefinita per tutti i nuovi bucket generici e per i bucket esistenti negli account senza oggetti crittografati SSE-C. La maggior parte dei carichi di lavoro moderni utilizza invece la crittografia lato server con chiavi gestite Amazon S3 (SSE-S3) o chiavi AWS KMS (SSE-KMS), poiché SSE-C richiede di fornire la chiave di crittografia ad ogni richiesta, rendendo poco pratico condividere l'accesso con altri utenti, ruoli o servizi che operano sui tuoi dati. AWS Per ulteriori informazioni Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS su SSE-KMS, consulta.
Se il tuo carico di lavoro richiede SSE-C, devi abilitarlo esplicitamente BlockedEncryptionTypes impostandolo NONE nella configurazione di crittografia predefinita del bucket utilizzando l'API. PutBucketEncryption Sebbene SSE-C sia bloccato PutObjectCopyObject, PostObject qualsiasi richiesta di caricamento multiparte o di replica che specifichi la crittografia SSE-C viene rifiutata con un errore HTTP 403. AccessDenied Per ulteriori informazioni, consulta Blocco o sblocco di SSE-C per un bucket per uso generico.
Questa caratteristica non comporta costi supplementari per l'utilizzo di SSE-C. Tuttavia, le richieste di configurazione e utilizzo di SSE-C sono soggette alle tariffe standard delle richieste Amazon S3. Per informazioni sui prezzi, consulta Prezzi di Amazon S3
Importante
Amazon Simple Storage Service ora applica una nuova impostazione di sicurezza predefinita per i bucket che disabilita automaticamente la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket generici. Nell'aprile 2026, Amazon S3 ha distribuito un aggiornamento in modo che tutti i nuovi bucket generici abbiano la crittografia SSE-C disabilitata per tutte le nuove richieste di scrittura. Per i bucket esistenti senza oggetti crittografati SSE-C, Amazon S3 ha inoltre disabilitato SSE-C per tutte le nuove richieste di scrittura. Account AWS Con questa modifica, le applicazioni che richiedono la crittografia SSE-C devono abilitare deliberatamente SSE-C utilizzando l'operazione API dopo aver creato un nuovo bucket. PutBucketEncryption Per ulteriori informazioni su questa modifica, vedere. Domande frequenti sull'impostazione SSE-C predefinita per i nuovi bucket
Considerazioni prima di utilizzare SSE-C
-
S3 non memorizza mai la chiave di crittografia quando si utilizza SSE-C. Devi fornire la chiave di crittografia ogni volta che vuoi che qualcuno scarichi i tuoi dati crittografati SSE-C da S3.
-
L'utente gestisce una mappatura per tenere traccia della chiave di crittografia che è stata utilizzata per crittografare un determinato oggetto. L'utente è responsabile della tracciatura di ciascuna chiave di crittografia fornita per ogni determinato oggetto. Ciò significa anche che se perdi la chiave di crittografia, perdi l'oggetto.
-
Dato che l'utente gestisce le chiavi di crittografia lato cliente, gestisce anche eventuali tutele aggiuntive, come la rotazione delle chiavi, lato cliente.
-
Questo design può rendere difficile la condivisione della chiave SSE-C con altri utenti, ruoli o AWS servizi che devono operare sui dati. A causa dell'ampio supporto per SSE-KMS in tutti i paesi AWS, la maggior parte dei carichi di lavoro moderni non utilizza SSE-C perché non offre la flessibilità di SSE-KMS. Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con chiavi KMS (SSE-KMS). AWS
-
Ciò significa che gli oggetti crittografati con SSE-C non possono essere decrittografati nativamente dai servizi gestiti. AWS
-
-
È necessario utilizzare HTTPS per specificare le intestazioni SSE-C nelle richieste.
-
Amazon S3 rifiuta qualsiasi richiesta effettuata su HTTP quando si utilizza SSE-C. Per motivi di sicurezza, è consigliabile considerare compromessa qualsiasi chiave inviata per errore tramite HTTP. Elimina la chiave ed esegui la rotazione come opportuno.
-
-
Se il bucket è abilitato al controllo delle versioni, ogni versione dell'oggetto che carichi può avere una propria chiave di crittografia. L'utente è responsabile della tracciatura di ciascuna chiave di crittografia utilizzata per ogni determinato oggetto.
-
SSE-C non è supportato nella console Amazon S3. Non è possibile utilizzare la console Amazon S3 per caricare un oggetto e specificare la crittografia SSE-C. Non è inoltre possibile utilizzare la console per aggiornare (ad esempio, cambiare la classe di storage o aggiungere metadati) un oggetto esistente archiviato utilizzando la crittografia SSE-C.
-
SSE-C è bloccato per impostazione predefinita per i nuovi bucket. È necessario abilitare esplicitamente SSE-C utilizzando l'
PutBucketEncryptionAPI prima di poter caricare oggetti con la crittografia SSE-C. Per ulteriori informazioni, consulta Blocco o sblocco di SSE-C per un bucket per uso generico.
Argomenti
