Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riduzione del costo di SSE - KMS con Amazon S3 Bucket Keys
Amazon S3 Bucket Keys riduce il costo della crittografia lato server di Amazon S3 con AWS Key Management Service (AWS KMS) tasti (-). SSE KMS L'uso di una chiave a livello di bucket per SSE - può ridurre KMS AWS KMS costi di richiesta fino al 99 percento diminuendo il traffico delle richieste da Amazon S3 a AWS KMS. Con pochi clic nel AWS Management Console e senza apportare modifiche alle applicazioni client, è possibile configurare il bucket in modo che utilizzi una S3 Bucket Key per la KMS crittografia di nuovi SSE oggetti.
Nota
Le S3 Bucket Keys non sono supportate per la crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) tasti (-). DSSE KMS
Tasti S3 Bucket per - SSE KMS
I carichi di lavoro che accedono a milioni o miliardi di oggetti crittografati con SSE - KMS possono generare grandi volumi di richieste verso AWS KMS. Quando usiSSE, KMS per proteggere i tuoi dati senza una S3 Bucket Key, Amazon S3 utilizza una singola AWS KMS chiave dati per ogni oggetto. In questo caso, Amazon S3 effettua una chiamata a AWS KMS ogni volta che viene effettuata una richiesta contro un oggetto KMS crittografato. Per informazioni su come KMS funziona SSE -, consultaUtilizzo della crittografia lato server con AWS KMS tasti (-) SSE KMS.
Quando configuri il bucket per utilizzare una S3 Bucket Key per -, SSE KMS AWS genera una chiave a livello di bucket di breve durata da AWS KMS, quindi la mantiene temporaneamente in S3. Questa chiave a livello di bucket creerà chiavi di dati per i nuovi oggetti durante il relativo ciclo di vita. Le S3 Bucket Key vengono utilizzate per un periodo di tempo limitato all'interno di Amazon S3, riducendo la necessità per S3 di effettuare richieste a AWS KMS per completare le operazioni di crittografia. Ciò riduce il traffico da S3 a AWS KMS, permettendoti di accedere AWS KMS-oggetti crittografati in Amazon S3 a una frazione del costo precedente.
Le chiavi univoche a livello di bucket vengono recuperate almeno una volta per richiedente per garantire che l'accesso del richiedente alla chiave venga acquisito in un AWS KMS CloudTrail evento. Amazon S3 tratta i chiamanti come richiedenti diversi quando utilizzano ruoli o account diversi o lo stesso ruolo con politiche di ambito diverse. AWS KMS i risparmi sulle richieste riflettono il numero di richiedenti, i modelli di richiesta e l'età relativa degli oggetti richiesti. Ad esempio, un numero inferiore di richiedenti, la richiesta di più oggetti in una finestra temporale limitata e la crittografia con la stessa chiave a livello di bucket comportano un risparmio maggiore.
Nota
L'utilizzo di S3 Bucket Keys ti consente di risparmiare su AWS KMS richiedi i costi diminuendo le tue richieste a AWS KMS per Encrypt e Decrypt operazioni tramite l'uso di una chiave a livello di bucket. GenerateDataKey In base alla progettazione, le richieste successive che sfruttano questa chiave a livello di bucket non danno come risultato AWS KMS APIrichiede o convalida l'accesso rispetto a AWS KMS politica chiave.
Quando si configura una chiave bucket S3, gli oggetti già presenti nel bucket non utilizzano la chiave Bucket S3. Per configurare una chiave bucket S3 per gli oggetti esistenti, è possibile utilizzare un'operazione CopyObject. Per ulteriori informazioni, consulta Configurazione di una chiave bucket S3 a livello di oggetto .
Amazon S3 condividerà solo una S3 Bucket Key per oggetti crittografati dalla stessa AWS KMS key. Le chiavi S3 Bucket sono compatibili con KMS le chiavi create da AWS KMS, materiale chiave importato e materiale chiave supportato da archivi di chiavi personalizzati.
Configurazione delle chiavi bucket S3
Puoi configurare il tuo bucket per utilizzare una chiave S3 Bucket perSSE: KMS su nuovi oggetti tramite la console Amazon S3, AWS SDKs, AWS CLI, oppure. REST API Con S3 Bucket Keys abilitati sul bucket, gli oggetti caricati con una KMS chiave specificata SSE diversa utilizzeranno le proprie S3 Bucket Keys. Indipendentemente dall'impostazione della chiave di bucket S3, puoi includere l'intestazione x-amz-server-side-encryption-bucket-key-enabledcon un valore true o false or nella richiesta, per sovrascrivere l'impostazione del bucket.
Prima di configurare il bucket per utilizzare una chiave bucket S3, consulta Modifiche alla nota prima dell'abilitazione di una chiave bucket S3.
Configurazione di una chiave bucket S3 tramite la console di Amazon S3
Quando crei un nuovo bucket, puoi configurare il bucket in modo che utilizzi una S3 Bucket Key per: su nuovi oggetti. SSE KMS Puoi anche configurare un bucket esistente per utilizzare una S3 Bucket Key per SSE - KMS su nuovi oggetti aggiornando le proprietà del bucket.
Per ulteriori informazioni, consulta Configurazione del bucket per l'utilizzo di una S3 Bucket Key con - per nuovi oggetti SSE KMS.
REST API, AWS CLI e AWS SDKsupporto per S3 Bucket Keys
Puoi usare il, REST API AWS CLI, oppure AWS SDKper configurare il bucket in modo che utilizzi una chiave S3 Bucket per SSE - KMS su nuovi oggetti. Puoi inoltre abilitare una chiave bucket S3 a livello di oggetto.
Per ulteriori informazioni, consulta gli argomenti seguenti:
Le seguenti API operazioni supportano S3 Bucket Keys per -: SSE KMS
-
-
ServerSideEncryptionRuleaccetta il parametroBucketKeyEnabledper abilitare e disabilitare una chiave bucket S3.
-
-
-
ServerSideEncryptionRulerestituisce le impostazioni perBucketKeyEnabled.
-
-
PutObject, CopyObject, e CreateMultipartUploadObject POST
-
L'intestazione della richiesta
x-amz-server-side-encryption-bucket-key-enabledabilita o disabilita una chiave bucket S3 a livello di oggetto.
-
-
HeadObject, GetObjectUploadPartCopy, UploadPart, e CompleteMultipartUpload
-
L'intestazione della risposta
x-amz-server-side-encryption-bucket-key-enabledindica se una chiave bucket S3 è abilitata o disabilitata per un oggetto.
-
Lavorare con AWS CloudFormation
In AWS CloudFormation, la AWS::S3::Bucket risorsa include una proprietà di crittografia denominata BucketKeyEnabled che è possibile utilizzare per abilitare o disabilitare una S3 Bucket Key.
Per ulteriori informazioni, consulta Utilizzo AWS CloudFormation.
Modifiche alla nota prima dell'abilitazione di una chiave bucket S3
Prima di abilitare una chiave bucket S3, tieni presente le seguenti modifiche correlate:
IAMoppure AWS KMS politiche chiave
Se sei esistente AWS Identity and Access Management (IAM) politiche o AWS KMS le politiche chiave utilizzano il tuo oggetto Amazon Resource Name (ARN) come contesto di crittografia per perfezionare o limitare l'accesso alla tua KMS chiave, queste politiche non funzioneranno con una S3 Bucket Key. Le S3 Bucket Keys utilizzano il bucket come contesto di crittografia. ARN Prima di abilitare una S3 Bucket Key, aggiorna le tue politiche o IAM AWS KMS politiche chiave per utilizzare il bucket ARN come contesto di crittografia.
Per ulteriori informazioni sul contesto di crittografia e sulle chiavi bucket S3, consulta Contesto di crittografia.
CloudTrail eventi per AWS KMS
Dopo aver abilitato una S3 Bucket Key, AWS KMS CloudTrail gli eventi registrano il tuo bucket ARN anziché il tuo oggetto. ARN Inoltre, nei tuoi log vengono visualizzati meno KMS CloudTrail eventi per SSE - KMS objects. Poiché il materiale chiave è limitato nel tempo in Amazon S3, vengono inviate meno richieste a AWS KMS.
Utilizzo di una chiave bucket S3 con la replica
Puoi utilizzare S3 Bucket Keys con Replication Same-Region () e Cross-Region Replication ()SRR. CRR
Quando Amazon S3 replica un oggetto crittografato, in genere conserva le impostazioni di crittografia dell'oggetto di replica nel bucket di destinazione. Tuttavia, se l'oggetto di origine non è crittografato e il bucket di destinazione utilizza la crittografia predefinita o una chiave bucket S3, Amazon S3 crittografa l'oggetto con la configurazione del bucket di destinazione.
Negli esempi seguenti viene illustrato il funzionamento di una chiave bucket S3 con la replica. Per ulteriori informazioni, consulta Replicazione di oggetti crittografati (SSE-C, -S3, -, SSE -) SSE KMS DSSE KMS.
Esempio 1: l'oggetto di origine utilizza le chiavi bucket S3 e il bucket di destinazione usa la crittografia predefinita
Se l'oggetto di origine utilizza una chiave S3 Bucket ma il bucket di destinazione utilizza la crittografia predefinita con SSE -KMS, l'oggetto replica mantiene le impostazioni di crittografia S3 Bucket Key nel bucket di destinazione. Il bucket di destinazione utilizza ancora la crittografia predefinita con -. SSE KMS
Esempio 2: l'oggetto di origine non è crittografato; il bucket di destinazione utilizza una chiave S3 Bucket con - SSE KMS
Se l'oggetto di origine non è crittografato e il bucket di destinazione utilizza una chiave S3 Bucket con SSE -KMS, l'oggetto replica viene crittografato utilizzando una chiave S3 Bucket con - nel bucket di destinazione. SSE KMS Ciò fa sì che l'ETag dell'oggetto di origine sia diverso dall'ETag dell'oggetto replicato. È necessario aggiornare le applicazioni che utilizzano l'ETag per tenere conto di tale differenza.
Operazioni con le chiavi bucket S3
Per ulteriori informazioni sull'abilitazione e l'utilizzo di chiavi bucket S3, consulta le sezioni seguenti:
