Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3
Importante
Amazon S3 ora applica la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta Amazon S3 aggiuntiva nella finestra e. API AWS Command Line Interface AWS SDKs Per ulteriori informazioni, consulta Crittografia FAQ predefinita.
Tutti i bucket Amazon S3 hanno la crittografia configurata di default e gli oggetti vengono crittografati automaticamente utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (-S3). SSE Questa impostazione di crittografia si applica a tutti gli oggetti nei bucket Amazon S3.
Se hai bisogno di un maggiore controllo sulle chiavi, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi scegliere di utilizzare la crittografia lato server con AWS Key Management Service () chiavi (-AWS KMS) o la crittografia lato server a doppio livello con chiavi (SSE-KMS). AWS KMS DSSE KMS Per ulteriori informazioni sulla modifica delle KMS chiavi, consulta Modifica delle chiavi nella Guida per gli sviluppatori.AWS Key Management Service
Nota
Abbiamo modificato i bucket per crittografare automaticamente i caricamenti di nuovi oggetti. Se in precedenza hai creato un bucket senza crittografia predefinita, Amazon S3 abiliterà la crittografia per impostazione predefinita per il SSE bucket utilizzando -S3. Non ci saranno modifiche alla configurazione di crittografia predefinita per un bucket esistente che ha già configurato -S3 o -. SSE SSE KMS Se desideri crittografare i tuoi oggetti con SSE -KMS, devi modificare il tipo di crittografia nelle impostazioni del bucket. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi (-) AWS KMS SSE KMS.
Quando configuri il bucket per utilizzare la crittografia predefinita con SSE -KMS, puoi anche abilitare S3 Bucket Keys per ridurre il traffico delle richieste da Amazon S3 AWS KMS e ridurre il costo della crittografia. Per ulteriori informazioni, consulta Riduzione del costo di SSE - KMS con Amazon S3 Bucket Keys.
Per identificare i bucket che hanno SSE KMS abilitato la crittografia predefinita, puoi utilizzare i parametri di Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti. Per ulteriori informazioni, consulta Utilizzo di S3 Storage Lens per proteggere i dati.
Quando utilizzi la crittografia lato server, Amazon S3 esegue la crittografia di un oggetto prima di salvarlo su disco e lo decritta al momento del download. Per ulteriori informazioni sulla protezione dei dati mediante la crittografia lato server e la gestione delle chiavi di crittografia, consulta Protezione dei dati con la crittografia lato server.
Per ulteriori informazioni sulle autorizzazioni richieste per la crittografia predefinita, consulta PutBucketEncryptionnell'Amazon Simple Storage Service API Reference.
Puoi configurare il comportamento di crittografia predefinito di Amazon S3 per un bucket S3 utilizzando la console Amazon S3, Amazon S3 e l' AWS SDKsinterfaccia a riga di comando () RESTAPI. AWS AWS CLI
Crittografia di oggetti esistenti
Per crittografare gli oggetti Amazon S3 non crittografati esistenti, puoi utilizzare la funzionalità Operazioni in batch Amazon S3. Fornisci a S3 Batch Operations un elenco di oggetti su cui operare e Batch Operations chiama i rispettivi API per eseguire l'operazione specificata. È possibile utilizzare l'operazione di copia delle operazioni in batch per copiare gli oggetti non crittografati esistenti e scrivere i nuovi oggetti crittografati nello stesso bucket. Un solo processo di operazioni in batch può eseguire l'operazione specificata su miliardi di oggetti. Per ulteriori informazioni, consulta Esecuzione di operazioni sugli oggetti in blocco con Batch Operations e il post del Blog sull'archiviazione di AWS Crittografia di oggetti Amazon S3 esistenti con le operazioni in batch di Amazon S3
È inoltre possibile crittografare gli oggetti esistenti utilizzando l'CopyObject
APIoperazione o il copy-object
AWS CLI comando. Per ulteriori informazioni, consulta il post del Blog sull'archiviazione di AWS Crittografia di oggetti Amazon S3 esistenti con AWS CLI l
Nota
I bucket Amazon S3 con crittografia dei bucket predefinita impostata su SSE - KMS non possono essere utilizzati come bucket di destinazione per. Registrazione delle richieste con registrazione dell'accesso al server Solo la crittografia predefinita SSE -S3 è supportata per i bucket di destinazione dei log di accesso al server.
Utilizzo della KMS crittografia SSE - per le operazioni tra account
Quando si utilizza la crittografia per operazioni multi-account, tieni presente quanto segue:
-
Se non viene fornito un AWS KMS key Amazon Resource Name (ARN) o un alias al momento della richiesta o tramite la configurazione di crittografia predefinita del bucket, viene utilizzato il Chiave gestita da AWS comando (
aws/s3
). -
Se stai caricando o accedendo a oggetti S3 utilizzando i principi AWS Identity and Access Management (IAM) che sono uguali Account AWS alla tua KMS chiave, puoi usare il (). Chiave gestita da AWS
aws/s3
-
Se desideri concedere l'accesso multi-account agli oggetti S3, utilizza una chiave gestita dal cliente. Puoi configurare la policy di una chiave gestita dal cliente per consentire l'accesso da un altro account.
-
Se stai specificando una KMS chiave gestita dal cliente, ti consigliamo di utilizzare una chiave completamente qualificata. KMS ARN Se invece utilizzi un alias KMS chiave, AWS KMS risolve la chiave all'interno dell'account del richiedente. Questo comportamento può comportare la crittografia dei dati con una KMS chiave che appartiene al richiedente e non al proprietario del bucket.
-
È necessario specificare una chiave per cui il richiedente ha ottenuto l'autorizzazione
Encrypt
. Per ulteriori informazioni, consulta Consentire agli utenti chiave di utilizzare una KMS chiave per operazioni crittografiche nella Guida per gli AWS Key Management Service sviluppatori.
Per ulteriori informazioni su quando utilizzare le chiavi gestite dal cliente e le KMS chiavi AWS gestite, consulta Devo usare una chiave Chiave gestita da AWS o una chiave gestita dal cliente per crittografare i miei oggetti in Amazon
Utilizzo della codifica predefinita con la replica
Una volta abilitata la crittografia predefinita per un bucket di destinazione della replica, si applica il seguente comportamento di crittografia:
-
Se gli oggetti nel bucket di origine non sono crittografati, gli oggetti replicati nel bucket di destinazione vengono crittografati in base alle impostazioni di crittografia predefinita del bucket di destinazione. Di conseguenza, i tag di entità (ETags) degli oggetti di origine differiscono da quelli degli oggetti ETags di replica. Se disponi di applicazioni che utilizzanoETags, devi aggiornarle per tenere conto di questa differenza.
-
Se gli oggetti nel bucket di origine sono crittografati utilizzando la crittografia lato server con chiavi gestite Amazon S3 (SSE-S3), la crittografia lato server con () chiavi AWS Key Management Service (-AWS KMS) o la crittografia lato server a doppio livello con chiavi (SSE-KMS), gli oggetti di replica nel bucket di destinazione utilizzano lo stesso tipo di crittografia degli oggetti di origine. AWS KMS DSSE KMS Le impostazioni della crittografia predefinita del bucket di destinazione non vengono utilizzate.
SSEPer ulteriori informazioni Replica di oggetti crittografati sull'KMSutilizzo della crittografia predefinita con -, consulta.
Utilizzo di chiavi bucket Amazon S3 con crittografia predefinita
Quando configuri il bucket per SSE utilizzarlo KMS come comportamento di crittografia predefinito per i nuovi oggetti, puoi anche configurare S3 Bucket Keys. Le S3 Bucket Keys riducono il numero di transazioni da Amazon S3 AWS KMS per ridurre il costo di -. SSE KMS
Quando configuri il bucket per utilizzare S3 Bucket Keys per SSE - KMS su nuovi oggetti, AWS KMS genera una chiave a livello di bucket che viene utilizzata per creare una chiave dati unica per gli oggetti nel bucket. Questa S3 Bucket Key viene utilizzata per un periodo di tempo limitato all'interno di Amazon S3, riducendo la necessità per Amazon S3 di effettuare richieste per completare le operazioni di crittografia. AWS KMS
Per ulteriori informazioni sull'utilizzo delle chiavi del bucket S3, consulta la sezione Utilizzo di chiavi bucket Amazon S3.