Configurazione della crittografia predefinita - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della crittografia predefinita

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta Amazon S3 aggiuntiva nella finestra e. API AWS Command Line Interface AWS SDKs Per ulteriori informazioni, consulta Crittografia FAQ predefinita.

I bucket Amazon S3 hanno la crittografia dei bucket abilitata per impostazione predefinita e i nuovi oggetti vengono crittografati automaticamente utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (-S3). SSE Questa crittografia si applica a tutti i nuovi oggetti nei bucket Amazon S3 e non comporta costi aggiuntivi.

Se hai bisogno di un maggiore controllo sulle chiavi di crittografia, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi scegliere di utilizzare la crittografia lato server con AWS Key Management Service () chiavi (-) o la crittografia lato server a doppio livello con chiavi (SSE-AWS KMS KMS). AWS KMS DSSE KMS Per ulteriori informazioni su -, consulta. SSE KMS Specificare la crittografia lato server con AWS KMS (-) SSE KMS Per ulteriori informazioni su DSSE -KMS, vedereUtilizzo della crittografia lato server a doppio livello con chiavi (-) AWS KMS DSSE KMS.

Se desideri utilizzare una KMS chiave di proprietà di un altro account, devi disporre dell'autorizzazione per utilizzare la chiave. Per ulteriori informazioni sulle autorizzazioni per le KMS chiavi su più account, consulta Creazione di KMS chiavi utilizzabili da altri account nella Guida per gli AWS Key Management Service sviluppatori.

Quando imposti la crittografia dei bucket predefinita su SSE -KMS, puoi anche configurare una chiave S3 Bucket per ridurre i costi delle richieste. AWS KMS Per ulteriori informazioni, consulta Riduzione del costo di SSE - KMS con Amazon S3 Bucket Keys.

Nota

Se utilizzi di PutBucketEncryptionimpostare la crittografia bucket predefinita su SSE -KMS, devi verificare che l'ID della KMS chiave sia corretto. Amazon S3 non convalida l'ID KMS chiave fornito nelle richieste. PutBucketEncryption

L'uso della crittografia predefinita dei bucket S3 non comporta costi aggiuntivi. Per le richieste di configurare la funzione di crittografia predefinita vengono applicati i costi standard per le richieste Amazon S3. Per informazioni sui prezzi, consulta Prezzi di Amazon S3. Per SSE - KMS e DSSE -KMS, vengono AWS KMS applicati addebiti elencati nella tabella dei prezzi AWS KMS .

La crittografia lato server con chiavi fornite dal cliente (SSE-C) non è supportata per la crittografia predefinita.

Puoi configurare la crittografia predefinita di Amazon S3 per un bucket S3 utilizzando la console Amazon S3, AWS SDKs Amazon S3 e (). REST API AWS Command Line Interface AWS CLI

Modifiche alla nota prima dell'abilitazione della crittografia predefinita

Una volta abilitata la crittografia predefinita di un bucket, si applica il seguente comportamento di crittografia:

  • Non avvengono modifiche della crittografia degli oggetti che esisteva nel bucket prima che la crittografia predefinita venisse abilitata.

  • Quando si effettua il caricamento di oggetti dopo l'abilitazione della crittografia predefinita:

    • Se le intestazioni della richiesta PUT non includono le informazioni di crittografia, Amazon S3 utilizza le impostazioni di crittografia di default del bucket per eseguire la crittografia degli oggetti.

    • Se le intestazioni della richiesta PUT includono le informazioni di crittografia, Amazon S3 utilizza le informazioni di crittografia della richiesta PUT per eseguire la crittografia degli oggetti prima di archiviarli in Amazon S3.

  • Se utilizzi l'KMSopzione SSE - KMS o DSSE - per la configurazione di crittografia predefinita, sei soggetto alle quote di richieste al secondo () di. RPS AWS KMS Per ulteriori informazioni sulle quote AWS KMS e su come richiedere un aumento delle quote, consulta Quote nella Guida per gli sviluppatori di AWS Key Management Service .

Nota

Gli oggetti caricati prima dell'abilitazione della crittografia predefinita non verranno crittografati. Per ulteriori informazioni sulla crittografia di oggetti, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

Per configurare la crittografia predefinita per un bucket Amazon S3

  1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).

  3. Nell'elenco Bucket scegli il nome del bucket desiderato.

  4. Scegliere la scheda Properties (Proprietà).

  5. In Default encryption (Crittografia di default), scegliere Edit (Modifica).

  6. Per configurare la crittografia, in Tipo di crittografia scegli una delle seguenti opzioni:

    • Crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE

    • Crittografia lato server con chiavi (-) AWS Key Management Service SSE KMS

    • Crittografia lato server a doppio livello con chiavi (-) AWS Key Management Service DSSE KMS

      Importante

      Se si utilizzano le KMS opzioni SSE - KMS o DSSE - per la configurazione di crittografia predefinita, si è soggetti alle quote di richieste al secondo () RPS di. AWS KMSPer ulteriori informazioni sulle AWS KMS quote e su come richiedere un aumento delle quote, consulta Quotas nella Developer Guide.AWS Key Management Service

    I bucket e i nuovi oggetti sono crittografati per impostazione predefinita con SSE -S3, a meno che non si specifichi un altro tipo di crittografia predefinita per i bucket. Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

    Per ulteriori informazioni sull'utilizzo della crittografia lato server di Amazon S3 per crittografare i dati, consulta Utilizzo della crittografia lato server con chiavi gestite di Amazon S3 (-S3) SSE.

  7. Se hai scelto la crittografia lato server con AWS Key Management Service chiavi (SSE-KMS) o la crittografia lato server a doppio livello con chiavi (-), procedi come segue: AWS Key Management Service DSSE KMS

    1. In AWS KMS chiave, specifica la tua KMS chiave in uno dei seguenti modi:

      • Per scegliere da un elenco di KMS chiavi disponibili, scegli Scegli dalla tua AWS KMS keys e scegli la tua KMSchiave dall'elenco delle chiavi disponibili.

        In questo elenco vengono visualizzate sia la chiave Chiave gestita da AWS (aws/s3) che quella gestita dai clienti. Per ulteriori informazioni sulle chiavi gestite dai clienti, consulta Customer keys and AWS keys nella AWS Key Management Service Developer Guide.

      • Per inserire la KMS chiaveARN, scegli Invio AWS KMS key ARN e inserisci la KMS chiave ARN nel campo visualizzato.

      • Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli Crea una KMS chiave.

        Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta Creating keys nella AWS Key Management Service Developer Guide.

      Importante

      È possibile utilizzare solo KMS chiavi abilitate nello Regione AWS stesso bucket. Quando scegli Scegli tra KMS le tue chiavi, la console S3 elenca solo 100 KMS chiavi per regione. Se hai più di 100 KMS tasti nella stessa regione, puoi vedere solo i primi 100 KMS tasti nella console S3. Per utilizzare una KMS chiave non elencata nella console, scegli Invio AWS KMS key ARN e inserisci la KMS chiaveARN.

      Quando utilizzi una AWS KMS key crittografia lato server in Amazon S3, devi scegliere una chiave di crittografia simmetrica. KMS Amazon S3 supporta solo chiavi di crittografia simmetriche. KMS Per ulteriori informazioni su queste chiavi, consulta Chiavi di crittografia KMS simmetriche nella Guida per gli sviluppatori.AWS Key Management Service

      Per ulteriori informazioni sull'utilizzo SSE KMS con Amazon S3, consulta. Utilizzo della crittografia lato server con chiavi (-) AWS KMS SSE KMS Per ulteriori informazioni sull'uso di DSSE -KMS, consultaUtilizzo della crittografia lato server a doppio livello con chiavi (-) AWS KMS DSSE KMS.

    2. Quando configuri il bucket per utilizzare la crittografia predefinita con SSE -KMS, puoi anche abilitare una S3 Bucket Key. S3 Bucket Keys riduce il costo della crittografia diminuendo il traffico di richieste da Amazon S3 a. AWS KMS Per ulteriori informazioni, consulta Riduzione del costo di SSE - KMS con Amazon S3 Bucket Keys.

      Per utilizzare le chiavi bucket S3, in Chiave bucket seleziona Abilita.

      Nota

      Le S3 Bucket Keys non sono supportate per -. DSSE KMS

  8. Scegli Save changes (Salva modifiche).

Questi esempi mostrano come configurare la crittografia predefinita utilizzando SSE -S3 o utilizzando SSE - KMS con una S3 Bucket Key.

Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. Per ulteriori informazioni sull'utilizzo di per configurare la crittografia AWS CLI predefinita, consulta. put-bucket-encryption

Esempio — Crittografia predefinita con SSE -S3

In questo esempio viene configurata la crittografia predefinita dei bucket con le chiavi gestite da Amazon S3.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'
Esempio — Crittografia predefinita con SSE - KMS utilizzo di una chiave S3 Bucket

Questo esempio configura la crittografia dei bucket predefinita con SSE - KMS utilizzando una chiave S3 Bucket. 

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilizzare l'RESTAPIPutBucketEncryptionoperazione per abilitare la crittografia predefinita e impostare il tipo di crittografia lato server da utilizzare: SSE -S3, SSE - o -KMS. DSSE KMS

Per ulteriori informazioni, consulta PutBucketEncryptionnell'Amazon Simple Storage Service API Reference.