Utilizzo della crittografia lato server a doppio livello con chiavi (-) AWS KMS DSSE KMS - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server a doppio livello con chiavi (-) AWS KMS DSSE KMS

L'utilizzo della crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) chiavi (DSSE-KMS) applica due livelli di crittografia agli oggetti quando vengono caricati su Amazon S3. DSSE- ti KMS aiuta a soddisfare più facilmente gli standard di conformità che richiedono l'applicazione della crittografia multistrato ai tuoi dati e il pieno controllo delle tue chiavi di crittografia.

Quando usiDSSE, KMS con un bucket Amazon S3, le AWS KMS chiavi devono trovarsi nella stessa regione del bucket. Inoltre, quando DSSE - KMS è richiesto per l'oggetto, il checksum S3 che fa parte dei metadati dell'oggetto viene archiviato in forma crittografata. Per ulteriori informazioni sui checksum, consulta Verifica dell'integrità degli oggetti.

Sono previsti costi aggiuntivi per l'utilizzo DSSE di - and. KMS AWS KMS keys Per ulteriori informazioni sui KMS prezziDSSE, consulta i AWS KMS key concetti nella Guida per gli AWS Key Management Service sviluppatori e AWS KMS i prezzi.

Nota

Le S3 Bucket Keys non sono supportate per DSSE -. KMS

Richiede la crittografia lato server a doppio livello con (-) AWS KMS keys DSSE KMS

Per richiedere la crittografia lato server a doppio livello di tutti gli oggetti in uno specifico bucket Amazon S3, è possibile utilizzare una policy del bucket. Ad esempio, la seguente policy sui bucket nega l'autorizzazione di upload object (s3:PutObject) a tutti se la richiesta non include un'x-amz-server-side-encryptionintestazione che richiede la crittografia lato server con -. DSSE KMS

{
             "Version":"2012-10-17",
             "Id":"PutObjectPolicy",
             "Statement":[{
                   "Sid":"DenyUnEncryptedObjectUploads",
                   "Effect":"Deny",
                   "Principal":"*",
                   "Action":"s3:PutObject",
                   "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition":{
                      "StringNotEquals":{
                         "s3:x-amz-server-side-encryption":"aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Argomenti