Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Aggiorna la crittografia degli oggetti
<a name="batch-ops-update-encryption"></a>

È possibile utilizzare Operazioni in batch Amazon S3 per eseguire operazioni in batch su larga scala su oggetti Amazon S3. L'[https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_UpdateObjectEncryptionOperation.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_UpdateObjectEncryptionOperation.html)operazione Batch Operations aggiorna il tipo di crittografia lato server di più di un oggetto Amazon S3 con una singola richiesta. Un singolo processo `UpdateObjectEncryption` operativo può supportare un manifesto con un massimo di 20 miliardi di oggetti.

L'`UpdateObjectEncryption`operazione è supportata per tutte le classi di storage Amazon S3 supportate da bucket generici. Puoi utilizzare l'`UpdateObjectEncryption`operazione per modificare gli oggetti crittografati dalla [crittografia lato server con chiavi gestite Amazon S3 (SSE-S3) a chiavi Key Management Service ()AWS KMS(SSE-KMS) o AWS per applicare S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/UsingServerSideEncryption.html) [Bucket Keys](https://docs.aws.amazon.com//AmazonS3/latest/userguide/UsingKMSEncryption.html). Puoi anche utilizzare l'`UpdateObjectEncryption`operazione per modificare la chiave KMS gestita dal cliente utilizzata per crittografare i dati in modo da rispettare gli standard personalizzati di rotazione delle chiavi.

 Quando si crea un processo Batch Operations, è possibile generare un elenco di oggetti in base alla posizione di origine e ai criteri di filtro specificati. È possibile utilizzare il `MatchAnyObjectEncryption` filtro per generare un elenco di oggetti dal bucket che si desidera aggiornare e includere nel manifest. L'elenco di oggetti generato include solo oggetti bucket di origine con il tipo di crittografia lato server indicato. Se selezioni SSE-KMS, puoi facoltativamente filtrare ulteriormente i risultati specificando uno specifico stato di abilitazione KMS Key ARN e Bucket Key. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_JobManifestGeneratorFilter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_JobManifestGeneratorFilter.html)e `SSEKMSFilter` consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SSEKMSFilter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SSEKMSFilter.html) Reference.

## Restrizioni e considerazioni
<a name="batch-ops-encrypt-object-restrictions"></a>

Quando si utilizza l'operazione Batch `UpdateObjectEncryption` Operations, si applicano le seguenti restrizioni e considerazioni:
+ L'`UpdateObjectEncryption`operazione non supporta oggetti non crittografati o oggetti crittografati con crittografia lato server a doppio livello con AWS KMS keys (DSSE-KMS) o chiavi di crittografia fornite dal cliente (SSE-C). Inoltre, `UpdateObjectEncryption` non è possibile specificare una richiesta di tipo di crittografia SSE-S3.
+ È possibile utilizzare l'`UpdateObjectEncryption`operazione per aggiornare gli oggetti nei bucket con S3 Versioning abilitato. Per aggiornare il tipo di crittografia di una particolare versione, è necessario specificare un ID di versione nella richiesta. `UpdateObjectEncryption` Se non specificate l'ID della versione, la `UpdateObjectEncryption` richiesta agisce sulla versione corrente dell'oggetto. Per ulteriori informazioni sulla funzione Controllo delle versioni S3, consulta [Conservazione di più versioni degli oggetti con Controllo delle versioni S3](Versioning.md).
+ L'`UpdateObjectEncryption`operazione ha esito negativo su qualsiasi oggetto a cui è applicata una modalità di conservazione o un blocco legale di S3 Object Lock. Se un oggetto ha un periodo di conservazione in modalità governance o un blocco legale, devi prima rimuovere lo stato Object Lock sull'oggetto prima di emettere la richiesta. `UpdateObjectEncryption` Non è possibile utilizzare l'`UpdateObjectEncryption`operazione con oggetti a cui è applicato un periodo di conservazione in modalità di conformità Object Lock. Per ulteriori informazioni sul blocco degli oggetti S3, consulta [Blocco di oggetti con Object Lock](object-lock.md).
+ `UpdateObjectEncryption`le richieste sui bucket di origine con replica live abilitata non avvieranno eventi di replica nel bucket di destinazione. Se desideri modificare il tipo di crittografia degli oggetti sia nei bucket di origine che in quelli di destinazione, devi avviare `UpdateObjectEncryption` richieste separate sugli oggetti nei bucket di origine e di destinazione.
+ Per impostazione predefinita, tutte le `UpdateObjectEncryption` richieste che specificano una chiave KMS gestita dal cliente sono limitate alle chiavi KMS di proprietà del proprietario del bucket. Account AWS Se lo utilizzi AWS Organizations, puoi richiedere la possibilità di utilizzare gli account di AWS KMS keys proprietà di altri membri all'interno della tua organizzazione contattando. Supporto AWS
+ Se utilizzi S3 Batch Replication per replicare set di dati su più regioni e in precedenza il tipo di crittografia lato server degli oggetti era stato aggiornato da SSE-S3 a SSE-KMS, potresti aver bisogno di autorizzazioni aggiuntive. Nel bucket `kms:decrypt` della regione di origine, devi disporre delle autorizzazioni. Quindi, avrai bisogno delle `kms:encrypt` autorizzazioni `kms:decrypt` e per il bucket nella regione di destinazione.
+ Fornisci un ARN completo della chiave KMS nella `UpdateObjectEncryption` tua richiesta. Non puoi usare un nome alias o un alias ARN. Puoi determinare l'ARN completo della chiave KMS nella console AWS KMS o utilizzando l'API AWS KMS. `DescribeKey`
+ Per migliorare le prestazioni di generazione del manifesto quando usi il `KmsKeyArn` filtro, usa questo filtro insieme ad altri filtri di metadati di oggetti. Ad esempio, puoi combinarlo `KmsKeyArn` con `MatchAnyPrefix` o `MatchAnyStorageClass` quando generi automaticamente un manifesto in S3 Batch Operations. `CreatedAfter`

Per ulteriori informazioni su `UpdateObjectEncryption`, consultare [Aggiornamento della crittografia lato server per i dati esistenti](update-sse-encryption.md).

## Autorizzazioni richieste
<a name="batch-ops-required-permissions"></a>

Per eseguire l'`UpdateObjectEncryption`operazione, aggiungi la seguente policy AWS Identity and Access Management (IAM) al tuo principale IAM (utente, ruolo o gruppo). Per utilizzare questa policy, sostituiscila *`amzn-s3-demo-bucket`* con il nome del bucket che contiene gli oggetti per cui desideri aggiornare la crittografia. Sostituiscilo `amzn-s3-demo-manifest-bucket` con il nome del bucket che contiene il manifesto e sostituiscilo `amzn-s3-demo-completion-report-bucket` con il nome del bucket in cui desideri archiviare il rapporto di completamento.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3BatchOperationsUpdateEncryption",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:UpdateObjectEncryption"
            ],
            "Resource": [
                 "arn:aws:s3:::amzn-s3-demo-bucket-target"
                "arn:aws:s3:::amzn-s3-demo-bucket-target-target/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForManifestFile",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-manifest/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyForCompletionReport",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-completion-report/*"
            ]
        },
        {
            "Sid": "S3BatchOperationsPolicyManifestGeneration",
            "Effect": "Allow",
            "Action": [
                "s3:PutInventoryConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-target"
            ]
        },
        {
            "Sid": "AllowKMSOperationsForS3BatchOperations",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": [                "arn:aws:kms:us-east-1:111122223333:key/01234567-89ab-cdef-0123-456789abcdef"
            ]
        }
    ]
}
```

Per la politica di fiducia e la politica di autorizzazione da associare al ruolo IAM che il responsabile del servizio S3 Batch Operations assume per eseguire i job Batch Operations per tuo conto, consulta e. [Concessione di autorizzazioni per le operazioni in batch](batch-ops-iam-role-policies.md) [Aggiorna la crittografia degli oggetti](batch-ops-iam-role-policies.md#batch-ops-update-encryption-policies)

# Creazione di un processo Batch Operations per aggiornare la crittografia degli oggetti
<a name="batch-ops-update"></a>

Per aggiornare il tipo di crittografia lato server di più di un oggetto Amazon S3 con una singola richiesta, puoi utilizzare S3 Batch Operations. Puoi utilizzare S3 Batch Operations tramite la console Amazon S3 AWS Command Line Interface ,AWS CLI( AWS SDKs) o l'API REST di Amazon S3.

## Usando il AWS CLI
<a name="batch-ops-example-cli-update-job"></a>

Per eseguire i seguenti comandi, è necessario averli AWS CLI installati e configurati. Se non lo hai AWS CLI installato, consulta [Installare o aggiornare alla versione più recente di AWS CLI nella](https://docs.aws.amazon.com//cli/latest/userguide/getting-started-install.html) *Guida per l'AWS Command Line Interface utente*.

In alternativa, puoi eseguire AWS CLI comandi dalla console utilizzando AWS CloudShell. AWS CloudShell è una shell preautenticata basata su browser che è possibile avviare direttamente da. Console di gestione AWS[Per ulteriori informazioni, consulta Cos'è? CloudShell](https://docs.aws.amazon.com//cloudshell/latest/userguide/welcome.html) e [Guida introduttiva AWS CloudShell](https://docs.aws.amazon.com//cloudshell/latest/userguide/getting-started.html) nella *Guida AWS CloudShell per l'utente*.

**Example 1 — Creare un processo Batch Operations che aggiorni gli oggetti crittografati da una chiave KMS AWS KMS key a un'altra**  
L'esempio seguente mostra come creare un job S3 Batch Operations che aggiorna le impostazioni di crittografia per più oggetti nel bucket generico. Questo comando crea un job che modifica gli oggetti crittografati con una chiave AWS Key Management Service (AWS KMS) per utilizzare una chiave KMS diversa. Questo processo genera e salva anche un manifesto degli oggetti interessati e crea un rapporto dei risultati. Per utilizzare questo comando, sostituisci `user input placeholders` con le informazioni appropriate.  

```
aws s3control create-job --account-id account-id \
--no-confirmation-required \
--operation '{"S3UpdateObjectEncryption": {  "ObjectEncryption": { "SSEKMS": { "KMSKeyArn": "KMS-key-ARN-to-apply", "BucketKeyEnabled": false  }  }  } }' \
--report '{ "Enabled": true, "Bucket": "report-bucket-ARN",  "Format": "Report_CSV_20180820", "Prefix": "report", "ReportScope": "AllTasks" }' \
--manifest-generator '{ "S3JobManifestGenerator": { "ExpectedBucketOwner": "account-id", "SourceBucket": "source-bucket-ARN", "EnableManifestOutput": true, "ManifestOutputLocation": { "Bucket": "manifest-bucket-ARN", "ManifestFormat": "S3InventoryReport_CSV_20211130", "ManifestPrefix": "manifest-prefix" }, "Filter": {   "MatchAnyObjectEncryption": [{ "SSEKMS": { "KmsKeyArn": "kms-key-ARN-to-match" } }] } } }' \
--priority 1 \
--role-arn batch-operations-role-ARN
```
Per prestazioni ottimali, si consiglia di utilizzare il `KmsKeyArn` filtro insieme ad altri filtri per i metadati degli oggetti, ad esempio `MatchAnyPrefix``CreatedAfter`, o. `MatchAnyStorageClass`

**Example 2 — Creare un processo Batch Operations che aggiorni gli oggetti crittografati SSE-S3 a SSE-KMS**  
L'esempio seguente mostra come creare un job S3 Batch Operations che aggiorna le impostazioni di crittografia per più oggetti nel bucket generico. Questo comando crea un processo che modifica gli oggetti crittografati utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) per utilizzare invece la crittografia AWS Key Management Service lato server con () chiavi (SSE-KMS).AWS KMS Questo processo genera e salva anche un manifesto degli oggetti interessati e crea un report dei risultati. Per utilizzare questo comando, sostituisci `user input placeholders` con le informazioni appropriate.  

```
aws s3control create-job --account-id account-id \
--no-confirmation-required \
--operation '{"S3UpdateObjectEncryption": {  "ObjectEncryption": { "SSEKMS": { "KMSKeyArn": "KMS-key-ARN-to-apply", "BucketKeyEnabled": false  }  }  } }' \
--report '{ "Enabled": true, "Bucket": "report-bucket-ARN",  "Format": "Report_CSV_20180820", "Prefix": "report", "ReportScope": "AllTasks" }' \
--manifest-generator '{ "S3JobManifestGenerator": { "ExpectedBucketOwner": "account-id", "SourceBucket": "source-bucket-ARN", "EnableManifestOutput": true, "ManifestOutputLocation": { "Bucket": "manifest-bucket-ARN", "ManifestFormat": "S3InventoryReport_CSV_20211130", "ManifestPrefix": "manifest-prefix" }, "Filter": {   "MatchAnyObjectEncryption": [{ "SSES3": {} }] } } }' \
--priority 1 \
--role-arn batch-operations-role-ARN
```
Per prestazioni ottimali, si consiglia di utilizzare il `KmsKeyArn` filtro insieme ad altri filtri per i metadati degli oggetti, ad esempio `MatchAnyPrefix``CreatedAfter`, o. `MatchAnyStorageClass`