Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Panoramica della configurazione della replica in tempo reale
<a name="replication-how-setup"></a>

**Nota**  
Gli oggetti esistenti prima della configurazione della replica non vengono replicati automaticamente. In altre parole, Amazon S3 non esegue la replica retroattiva di oggetti. Per replicare oggetti creati prima della configurazione della replica, utilizza S3 Batch Replication. Per maggiori informazioni sulla configurazione di Replica in batch, consulta [Replica di oggetti esistenti](s3-batch-replication-batch.md).

Per abilitare la replica in tempo reale, indipendentemente dal fatto che si tratti della replica nella stessa Regione (SRR) o della replica tra Regioni (CRR), aggiungere una configurazione della replica al bucket di origine. Questa configurazione indica ad Amazon S3 di replicare gli oggetti come specificato. Nella configurazione di replica, è necessario fornire le informazioni seguenti:
+ **I bucket di destinazione**: uno o più bucket in cui desideri che Amazon S3 replichi gli oggetti.
+ **Gli oggetti da replicare**: è possibile replicare tutti gli oggetti presenti nel bucket di origine o solo parte di essi. Puoi identificare un sottoinsieme specificando nella configurazione un [prefisso di nome di chiave](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#keyprefix), uno o più tag di oggetti oppure entrambi.

  Se, ad esempio, configuri una regola di replica per replicare solo gli oggetti con il prefisso di nome di chiave `Tax/`, Amazon S3 replica gli oggetti con chiavi come `Tax/doc1` o `Tax/doc2`. Ma non replica un oggetto con la chiave `Legal/doc3`. Se specifichi sia un prefisso sia uno o più tag, Amazon S3 replica solo gli oggetti con il prefisso della chiave e i tag specificati.
+ **Un ruolo AWS Identity and Access Management (IAM)**: Amazon S3 assume questo ruolo IAM per replicare gli oggetti per tuo conto. Per ulteriori informazioni sulla creazione di questo ruolo IAM e sulla gestione delle autorizzazioni, consulta [Configurazione delle autorizzazioni per la replica in tempo reale](setting-repl-config-perm-overview.md).

Oltre a questi requisiti minimi, puoi scegliere tra le opzioni seguenti: 
+ **Classe di archiviazione della replica**: di default, Amazon S3 archivia le repliche di oggetti utilizzando la stessa classe di archiviazione dell'oggetto di origine. È possibile specificare una classe di storage diversa per le repliche.
+ **Proprietà della replica**: Amazon S3 presuppone che la replica di un oggetto continuerà ad appartenere al proprietario dell'oggetto di origine. Quindi, quando replica gli oggetti, ne replica anche la lista di controllo degli accessi (ACL) corrispondente o l'impostazione S3 Object Ownership. Se i bucket di origine e di destinazione sono di proprietà di Account AWS diversi, è possibile configurare la replica in modo da assegnare la proprietà di una replica all' Account AWS proprietario del bucket di destinazione. Per ulteriori informazioni, consulta [Modifica del proprietario della replica](replication-change-owner.md).

Puoi configurare la replica utilizzando la console Amazon S3 AWS Command Line Interface ,AWS CLI() o l'API AWS SDKs REST di Amazon S3. Per istruzioni dettagliate su come configurare la replica, consulta [Esempi di configurazione della replica in tempo reale](replication-example-walkthroughs.md).

 Amazon S3 fornisce operazioni REST API per supportare la configurazione delle regole di replica. Per ulteriori informazioni, consulta i seguenti argomenti nella *Documentazione di riferimento delle API di Amazon Simple Storage Service*:
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html) 
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) 
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html) 

**Topics**
+ [

# Elementi del file di configurazione della replica
](replication-add-config.md)
+ [

# Configurazione delle autorizzazioni per la replica in tempo reale
](setting-repl-config-perm-overview.md)
+ [

# Esempi di configurazione della replica in tempo reale
](replication-example-walkthroughs.md)

# Elementi del file di configurazione della replica
<a name="replication-add-config"></a>

Amazon S3 archivia la configurazione di replica come file XML. Se la replica viene configurata a livello di codice tramite la REST API di Amazon S3, i vari elementi della configurazione della replica vengono specificati in questo file XML. Se la replica viene configurata tramite AWS Command Line Interface (AWS CLI), la configurazione della replica viene specificata utilizzando il formato JSON. Per gli esempi di JSON, consulta le procedure dettagliate in [Esempi di configurazione della replica in tempo reale](replication-example-walkthroughs.md).

**Nota**  
La versione più recente del formato XML di configurazione della replica è V2. Le configurazioni di replica XML V2 sono quelle che contengono l'elemento `<Filter>` per le regole e le regole che specificano S3 Replication Time Control (S3 RTC).  
Per visualizzare la versione della configurazione di replica, puoi utilizzare l'operazione API `GetBucketReplication`. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service).   
Per la compatibilità con le versioni precedenti, Amazon S3 continua a supportare il formato di configurazione della replica XML V1. Se è stato usato il formato di configurazione della replica XML V1, consulta [Considerazioni sulla compatibilità con le versioni precedenti](#replication-backward-compat-considerations) per le considerazioni relative alla compatibilità con le versioni precedenti.

Nel file XML di configurazione della replica, è necessario specificare un ruolo AWS Identity and Access Management (IAM) e una o più regole, come illustrato nell'esempio seguente:

```
<ReplicationConfiguration>
    <Role>IAM-role-ARN</Role>
    <Rule>
        ...
    </Rule>
    <Rule>
         ... 
    </Rule>
     ...
</ReplicationConfiguration>
```

Amazon S3 non può replicare oggetti senza la tua autorizzazione. Le autorizzazioni vengono concesse ad Amazon S3 con il ruolo IAM specificato nella configurazione della replica. Amazon S3 assume questo ruolo IAM per replicare gli oggetti per conto dell'utente. È necessario innanzitutto concedere le autorizzazioni necessarie al ruolo IAM. Per ulteriori informazioni sulla gestione delle autorizzazioni, consulta la sezione [Configurazione delle autorizzazioni per la replica in tempo reale](setting-repl-config-perm-overview.md).

È possibile aggiungere una sola regola a una configurazione della replica quando:
+ Vuoi replicare tutti gli oggetti.
+ Si desidera replicare solo un sottoinsieme di oggetti. Identifichi il sottoinsieme di oggetti aggiungendo un filtro alla regola. Nel filtro si specifica un prefisso di chiave o tag dell'oggetto o una combinazione di questi elementi, per identificare il sottoinsieme di oggetti a cui si applica la regola. I filtri si applicano agli oggetti che corrispondono ai valori esatti specificati.

Per replicare sottoinsiemi di oggetti diversi, aggiungere più regole a una configurazione della replica. In ogni regola è possibile specificare un filtro tramite il quale selezionare un sottoinsieme diverso. Puoi ad esempio scegliere di replicare gli oggetti con prefissi della chiave `tax/` o `document/`. Per fare ciò devi aggiungere due regole: una che specifica il filtro prefisso della chiave `tax/` e un'altra che specifica il prefisso della chiave `document/`. Per ulteriori informazioni sui prefissi della chiave dell'oggetto, consulta [Organizzazione degli oggetti utilizzando i prefissi](using-prefixes.md).

Nelle sezioni seguenti vengono fornite informazioni aggiuntive.

**Topics**
+ [

## Configurazione di base delle regole
](#replication-config-min-rule-config)
+ [

## Facoltativo: specifica di un filtro
](#replication-config-optional-filter)
+ [

## Configurazioni di destinazione aggiuntive
](#replication-config-optional-dest-config)
+ [

## Esempi di configurazioni di replica
](#replication-config-example-configs)
+ [

## Considerazioni sulla compatibilità con le versioni precedenti
](#replication-backward-compat-considerations)

## Configurazione di base delle regole
<a name="replication-config-min-rule-config"></a>

Ogni regola deve includere lo stato e la priorità della stessa. La regola deve anche indicare se replicare i contrassegni di eliminazione. 
+ L'elemento `<Status>` indica se la regola è abilitata o disabilitata utilizzando i valori `Enabled` o `Disabled`. Se una regola è disabilitata, Amazon S3 non esegue le operazioni in essa specificate. 
+ L'elemento `<Priority>` indica quale regola ha la precedenza ogni volta che due o più regole di replica sono in conflitto. Amazon S3 prova a replicare gli oggetti in base a tutte le regole di replica. Tuttavia, se esistono due o più regole con lo stesso bucket di destinazione, gli oggetti vengono replicati in base alla regola con la priorità più alta. Più elevato è il numero, maggiore è la priorità.
+ L'elemento `<DeleteMarkerReplication>` indica se replicare i contrassegni di eliminazione tramite i valori `Enabled` o `Disabled`.

Nella configurazione dell'elemento `<Destination>` è necessario specificare il nome del bucket o dei bucket di destinazione in cui Amazon S3 deve replicare gli oggetti. 

Nell'esempio seguente sono indicati i requisiti minimi per una regola V2. Per la compatibilità con le versioni precedenti, Amazon S3 continua a supportare il formato XML V1. Per ulteriori informazioni, consulta [Considerazioni sulla compatibilità con le versioni precedenti](#replication-backward-compat-considerations).

```
...
    <Rule>
        <ID>Rule-1</ID>
        <Status>Enabled-or-Disabled</Status>
        <Filter>
            <Prefix></Prefix>   
        </Filter>
        <Priority>integer</Priority>
        <DeleteMarkerReplication>
           <Status>Enabled-or-Disabled</Status>
        </DeleteMarkerReplication>
        <Destination>        
           <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket> 
        </Destination>    
    </Rule>
    <Rule>
         ...
    </Rule>
     ...
...
```

Puoi anche specificare altre opzioni di configurazione. Ad esempio, puoi scegliere di utilizzare una classe di storage per le repliche degli oggetti diversa dalla classe dell'oggetto di origine. 

## Facoltativo: specifica di un filtro
<a name="replication-config-optional-filter"></a>

Per scegliere un sottoinsieme di oggetti a cui si applica la regola, aggiungi un filtro facoltativo. Puoi filtrare in base al prefisso della chiave dell'oggetto, ai tag dell'oggetto o a una combinazione di entrambi. Se applichi un filtro in base sia al prefisso della chiave sia ai tag dell'oggetto, Amazon S3 combina i filtri utilizzando un operatore logico `AND`. In altre parole, la regola si applica a un sottoinsieme di oggetti con uno specifico prefisso della chiave e tag specifici. 

**Filtro in base al prefisso della chiave oggetto**  
Per specificare una regola con un filtro basato su un prefisso della chiave di un oggetto, utilizzare l'XML seguente. È possibile specificare un solo prefisso per regola.

```
<Rule>
    ...
    <Filter>
        <Prefix>key-prefix</Prefix>   
    </Filter>
    ...
</Rule>
...
```

**Filtro basato su tag oggetto**  
Per specificare una regola con un filtro basato sui tag di un oggetto, utilizzare l'XML seguente. Puoi specificare uno o più tag dell'oggetto.

```
<Rule>
    ...
    <Filter>
        <And>
            <Tag>
                <Key>key1</Key>
                <Value>value1</Value>
            </Tag>
            <Tag>
                <Key>key2</Key>
                <Value>value2</Value>
            </Tag>
             ...
        </And>
    </Filter>
    ...
</Rule>
...
```

**Filtro con un prefisso chiave e tag oggetto**  
Per specificare un filtro della regola con una combinazione di prefisso della chiave e tag di un oggetto, utilizzare l'XML seguente. I filtri vengono uniti in un elemento padre `<And>`. Amazon S3 esegue un'operazione logica `AND` per combinare questi filtri. In altre parole, la regola si applica a un sottoinsieme di oggetti con uno specifico prefisso della chiave e tag specifici. 

```
<Rule>
    ...
    <Filter>
        <And>
            <Prefix>key-prefix</Prefix>
            <Tag>
                <Key>key1</Key>
                <Value>value1</Value>
            </Tag>
            <Tag>
                <Key>key2</Key>
                <Value>value2</Value>
            </Tag>
             ...
    </Filter>
    ...
</Rule>
...
```

**Nota**  
Se si specifica una regola con un elemento `<Filter>` vuoto, la regola verrà applicata a tutti gli oggetti nel bucket.
Quando si utilizzano regole di replica basate su tag con replica in tempo reale, occorre assegnare ai nuovi oggetti il tag della regola di replica corrispondente nell'operazione `PutObject`. In caso contrario, gli oggetti non verranno replicati. Non verranno replicati neanche gli oggetti a cui vengono assegnati tag dopo l'operazione `PutObject`.   
Per replicare oggetti a cui sono stati assegnati tag dopo l'operazione `PutObject`, è necessario utilizzare Replica in batch S3. Per ulteriori informazioni su Batch Replication, consulta la sezione [Replica di oggetti esistenti](s3-batch-replication-batch.md).

## Configurazioni di destinazione aggiuntive
<a name="replication-config-optional-dest-config"></a>

Nella configurazione di destinazione devi specificare il bucket in cui Amazon S3 deve replicare gli oggetti. Puoi configurare la replica per replicare gli oggetti da un bucket di origine a uno solo o a più bucket di destinazione. 

```
...
<Destination>        
    <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
</Destination>
...
```

Puoi aggiungere le seguenti opzioni nell'elemento `<Destination>`.

**Topics**
+ [

### Specifica della classe di storage
](#storage-class-configuration)
+ [

### Aggiunta di più bucket di destinazione
](#multiple-destination-buckets-configuration)
+ [

### Specifica di parametri diversi per ogni regola di replica con più bucket di destinazione
](#replication-rule-configuration)
+ [

### Modifica della proprietà della replica
](#replica-ownership-configuration)
+ [

### Abilitazione di S3 Replication Time Control
](#rtc-configuration)
+ [

### Replica gli oggetti creati con la crittografia lato server utilizzando AWS KMS
](#sse-kms-configuration)

### Specifica della classe di storage
<a name="storage-class-configuration"></a>

È possibile specificare la classe di storage per le repliche degli oggetti. Per impostazione predefinita, Amazon S3 utilizza la classe di storage dell'oggetto di origine per creare le repliche degli oggetti, come nell'esempio seguente.

```
...
<Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
       <StorageClass>storage-class</StorageClass>
</Destination>
...
```

### Aggiunta di più bucket di destinazione
<a name="multiple-destination-buckets-configuration"></a>

Puoi aggiungere più bucket di destinazione in una singola configurazione di replica, come indicato di seguito.

```
...
<Rule>
    <ID>Rule-1</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled-or-Disabled</Status>
    </DeleteMarkerReplication>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket1</Bucket> 
    </Destination>    
</Rule>
<Rule>
    <ID>Rule-2</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled-or-Disabled</Status>
    </DeleteMarkerReplication>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket2</Bucket> 
    </Destination>    
</Rule>
...
```

### Specifica di parametri diversi per ogni regola di replica con più bucket di destinazione
<a name="replication-rule-configuration"></a>

Quando si aggiungono più bucket di destinazione in una singola configurazione di replica, puoi specificare parametri diversi per ogni regola di replica, come indicato di seguito.

```
...
<Rule>
    <ID>Rule-1</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Disabled</Status>
    </DeleteMarkerReplication>
      <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket1</Bucket> 
    </Destination>    
</Rule>
<Rule>
    <ID>Rule-2</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled</Status>
    </DeleteMarkerReplication>
      <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
  <ReplicationTime>
    <Status>Enabled</Status>
    <Time>
      <Minutes>15</Minutes>
    </Time>
  </ReplicationTime>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket2</Bucket> 
    </Destination>    
</Rule>
...
```

### Modifica della proprietà della replica
<a name="replica-ownership-configuration"></a>

Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, è possibile modificare la proprietà della replica con Account AWS quella proprietaria del bucket di destinazione. A questo scopo, aggiungi l'elemento `<AccessControlTranslation>`. Questo elemento assume il valore `Destination`.

```
...
<Destination>
   <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
   <Account>destination-bucket-owner-account-id</Account>
   <AccessControlTranslation>
       <Owner>Destination</Owner>
   </AccessControlTranslation>
</Destination>
...
```

Se non si aggiunge l'`<AccessControlTranslation>`elemento alla configurazione di replica, le repliche sono di proprietà dello stesso Account AWS proprietario dell'oggetto di origine. Per ulteriori informazioni, consulta [Modifica del proprietario della replica](replication-change-owner.md).

### Abilitazione di S3 Replication Time Control
<a name="rtc-configuration"></a>

Puoi abilitare S3 Replication Time Control (S3 RTC) nella configurazione di replica. S3 RTC replica la maggior parte degli oggetti in pochi secondi e il 99,99% degli oggetti entro 15 minuti, secondo un Accordo sul Livello di Servizio (SLA). 

**Nota**  
Per gli elementi `<EventThreshold>` e `<Time>` è accettato solo un valore valido di `<Minutes>15</Minutes>`.

```
...
<Destination>
  <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
  <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
  <ReplicationTime>
    <Status>Enabled</Status>
    <Time>
      <Minutes>15</Minutes>
    </Time>
  </ReplicationTime>
</Destination>
...
```

Per ulteriori informazioni, consulta [Soddisfazione dei requisiti di conformità con il controllo del tempo di replica di Amazon S3](replication-time-control.md). Per esempi di API, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html) nella *Guida di riferimento per l'API di Amazon Simple Storage Service*.

### Replica gli oggetti creati con la crittografia lato server utilizzando AWS KMS
<a name="sse-kms-configuration"></a>

Il bucket di origine potrebbe contenere oggetti creati con la crittografia lato server utilizzando le chiavi AWS Key Management Service () (AWS KMS SSE-KMS). Per impostazione predefinita, Amazon S3 non replica questi oggetti. Puoi facoltativamente indicare ad Amazon S3 di replicare questi oggetti. Per farlo, innanzitutto abilita esplicitamente questa funzionalità aggiungendo l'elemento `<SourceSelectionCriteria>`. Quindi fornisci AWS KMS key (per il bucket Regione AWS di destinazione) da utilizzare per crittografare le repliche degli oggetti. I seguenti esempi mostrano come specificare questi elementi.

```
...
<SourceSelectionCriteria>
  <SseKmsEncryptedObjects>
    <Status>Enabled</Status>
  </SseKmsEncryptedObjects>
</SourceSelectionCriteria>
<Destination>
  <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
  <EncryptionConfiguration>
    <ReplicaKmsKeyID>AWS KMS key ID to use for encrypting object replicas</ReplicaKmsKeyID>
  </EncryptionConfiguration>
</Destination>
...
```

Per ulteriori informazioni, consulta [Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).

## Esempi di configurazioni di replica
<a name="replication-config-example-configs"></a>

Per iniziare, puoi aggiungere le configurazioni di replica di esempio seguenti al bucket, in base alle esigenze.

**Importante**  
Per aggiungere una configurazione di replica a un bucket, devi disporre dell'autorizzazione `iam:PassRole`. Questa autorizzazione permette di passare il ruolo IAM che concede le autorizzazioni di replica ad Amazon S3. Puoi specificare il ruolo IAM fornendo l'Amazon Resource Name (ARN) utilizzato nell'elemento `<Role>` nel file XML della configurazione di replica. Per ulteriori informazioni, consulta [Concessione di autorizzazioni utente per il passaggio di un ruolo a Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella *Guida per l'utente di IAM*.

**Example 1: Configurazione di replica con una regola**  
La configurazione di replica di base seguente specifica una regola. La regola specifica un ruolo IAM che Amazon S3 può assumere e un singolo bucket di destinazione per le repliche degli oggetti. Se il valore dell'elemento `<Status>` è `Enabled` significa che la regola è in vigore.  

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>

    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```
Per scegliere un sottoinsieme di oggetti da replicare, puoi aggiungere un filtro. Nella configurazione seguente il filtro specifica un prefisso della chiave di un oggetto. Questa regola si applica agli oggetti con il prefisso `Tax/` nel nome della chiave.   

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>

    <Filter>
       <Prefix>Tax/</Prefix>
    </Filter>

    <Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>

  </Rule>
</ReplicationConfiguration>
```
Se specifichi l'elemento `<Filter>`, devi includere anche gli elementi `<Priority>` e `<DeleteMarkerReplication>`. In questo esempio, il valore impostato per l'elemento `<Priority>` non è rilevante perché è presente solo una regola.  
Nella configurazione seguente il filtro specifica un prefisso e due tag. La regola si applica al sottoinsieme di oggetti con il prefisso della chiave e i tag specificati. Nello specifico, si applica agli oggetti con il prefisso `Tax/` nei nomi delle chiavi e i due tag specificati. In questo esempio, il valore impostato per l'elemento `<Priority>` non è rilevante perché è presente solo una regola.  

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>

    <Filter>
        <And>
          <Prefix>Tax/</Prefix>
          <Tag>
             <Tag>
                <Key>tagA</Key>
                <Value>valueA</Value>
             </Tag>
          </Tag>
          <Tag>
             <Tag>
                <Key>tagB</Key>
                <Value>valueB</Value>
             </Tag>
          </Tag>
       </And>

    </Filter>

    <Destination>
        <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>

  </Rule>
</ReplicationConfiguration>
```
È possibile specificare una classe di storage per le repliche degli oggetti come illustrato di seguito:  

```
<?xml version="1.0" encoding="UTF-8"?>

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
       <StorageClass>storage-class</StorageClass>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```
È possibile specificare qualsiasi classe di storage supportata da Amazon S3.

**Example 2: Configurazione di replica con due regole**  

**Example**  
Nella seguente configurazione della replica, le regole specificano che:  
+ Ogni regola filtra in base a un prefisso della chiave diverso, per cui ogni regola si applica a un sottoinsieme di oggetti diverso. In questo esempio, Amazon S3 replica gli oggetti con i nomi di chiave *`Tax/doc1.pdf`* e *`Project/project1.txt`*, ma non gli oggetti con il nome di chiave *`PersonalDoc/documentA`*. 
+ Sebbene entrambe le regole specifichino un valore per l'elemento `<Priority>`, la priorità della regola non è rilevante perché le regole si applicano a due insiemi di oggetti distinti. L'esempio successivo mostra cosa accade quando viene applicata la priorità delle regole. 
+ La seconda regola specifica una classe di archiviazione S3 Standard-IA per le repliche degli oggetti. Amazon S3 usa la classe di storage specificata per tali repliche.
   

```
<?xml version="1.0" encoding="UTF-8"?>

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>Tax</Prefix>
    </Filter>
    <Status>Enabled</Status>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
     ...
  </Rule>
 <Rule>
    <Status>Enabled</Status>
    <Priority>2</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>Project</Prefix>
    </Filter>
    <Status>Enabled</Status>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
     <StorageClass>STANDARD_IA</StorageClass>
    </Destination>
     ...
  </Rule>


</ReplicationConfiguration>
```

**Example 3: Configurazione di replica con due regole con prefissi sovrapposti**  <a name="overlap-rule-example"></a>
In questa configurazione, le due regole specificano filtri con prefissi della chiave che si sovrappongono, *`star`* e *`starship`*. Entrambe le regole si applicano agli oggetti con il nome di chiave *`starship-x`*. In questo caso, Amazon S3 utilizza la priorità delle regole per determinare quale regola applicare. Più elevato è il numero, maggiore è la priorità.  

```
<ReplicationConfiguration>

  <Role>arn:aws:iam::account-id:role/role-name</Role>

  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>star</Prefix>
    </Filter>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
  <Rule>
    <Status>Enabled</Status>
    <Priority>2</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>starship</Prefix>
    </Filter>    
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```

**Example 4: Procedure dettagliate di esempio**  
Per le procedure dettagliate di esempio, consulta [Esempi di configurazione della replica in tempo reale](replication-example-walkthroughs.md).

Per ulteriori informazioni sulla struttura XML della configurazione di replica, consulta [PutBucketReplication](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTreplication.html)*Amazon Simple Storage Service API Reference*. 

## Considerazioni sulla compatibilità con le versioni precedenti
<a name="replication-backward-compat-considerations"></a>

La versione più recente del formato XML di configurazione della replica è V2. Le configurazioni di replica XML V2 sono quelle che contengono l'elemento `<Filter>` per le regole e le regole che specificano S3 Replication Time Control (S3 RTC).

Per visualizzare la versione della configurazione di replica, puoi utilizzare l'operazione API `GetBucketReplication`. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service). 

Per la compatibilità con le versioni precedenti, Amazon S3 continua a supportare il formato di configurazione della replica XML V1. Se si è utilizzato il formato di configurazione della replica XML V1, tenere presenti i seguenti problemi relativi alla compatibilità con le versioni precedenti:
+ Il formato di configurazione della replica XML V2 include l'elemento `<Filter>` per le regole. Con l'elemento `<Filter>`, puoi specificare filtri di oggetti basati sul prefisso della chiave o sui tag dell'oggetto, oppure su entrambi gli elementi, per specificare gli oggetti a cui si applica la regola. Il formato di configurazione della replica XML V1 supporta il filtro solo in base al prefisso della chiave. In tal caso, aggiungere l'elemento `<Prefix>` direttamente come elemento figlio dell'elemento `<Rule>`, come nell'esempio seguente:

  ```
  <?xml version="1.0" encoding="UTF-8"?>
  <ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <Role>arn:aws:iam::account-id:role/role-name</Role>
    <Rule>
      <Status>Enabled</Status>
      <Prefix>key-prefix</Prefix>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
      </Destination>
  
    </Rule>
  </ReplicationConfiguration>
  ```
+ Quando elimini un oggetto dal bucket di origine senza specificare un ID versione, Amazon S3 aggiunge un contrassegno di eliminazione. Se si utilizza il formato di configurazione della replica XML V1, le repliche Amazon S3 eliminano solo i contrassegni derivanti dalle operazioni dell'utente. In altre parole, Amazon S3 esegue la replica del contrassegno di eliminazione solo se un utente elimina un oggetto. Se un oggetto scaduto viene rimosso da Amazon S3 (come parte di un'operazione del ciclo di vita), Amazon S3 non replicherà il contrassegno di eliminazione. 

  Nel formato XML V2 della configurazione di replica, puoi abilitare la replica dei marker di eliminazione per le regole. non-tag-based Per ulteriori informazioni, consulta [Replica dei contrassegni di eliminazione tra i bucket](delete-marker-replication.md). 

 

# Configurazione delle autorizzazioni per la replica in tempo reale
<a name="setting-repl-config-perm-overview"></a>

Per la configurazione della replica in tempo reale in Amazon S3, occorre acquisire le autorizzazioni necessarie, come indicato di seguito:
+ Devi concedere al principale AWS Identity and Access Management (IAM) (utente o ruolo) che creerà le regole di replica un determinato set di autorizzazioni.
+ Amazon S3 necessita delle autorizzazioni per replicare gli oggetti per tuo conto. Queste autorizzazioni vengono concesse creando un ruolo IAM e specificandolo nella configurazione di replica.
+ Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine anche le autorizzazioni per archiviare le repliche.

**Nota**  
Se si utilizza Operazioni in batch S3 per replicare gli oggetti on demand anziché configurare la replica in tempo reale, le policy e un ruolo IAM diversi sono necessari per Replica in batch S3. Per esempi di policy e ruoli IAM di Replica in batch, consulta [Configurazione di un ruolo IAM per Replica in batch S3](s3-batch-replication-policies.md).

**Topics**
+ [

## Fase 1. Concessione di autorizzazioni al principale IAM che crea le regole di replica
](#setting-repl-config-role)
+ [

## Fase 2. Creazione di un ruolo IAM per Amazon S3
](#setting-repl-config-same-acctowner)
+ [

## (Facoltativo) Fase 3: Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS
](#setting-repl-config-crossacct)
+ [

## (Facoltativo) Fase 4. Concessione di autorizzazioni per modificare la proprietà della replica
](#change-replica-ownership)

## Fase 1. Concessione di autorizzazioni al principale IAM che crea le regole di replica
<a name="setting-repl-config-role"></a>

L’utente o il ruolo IAM da utilizzare per creare le regole di replica necessita delle autorizzazioni per creare regole per repliche unidirezionali o bidirezionali. Se l’utente o il ruolo non dispone di queste autorizzazioni, non è possibile creare regole di replica. Per ulteriori informazioni, consulta [Identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l’utente IAM*.

L’utente o il ruolo necessita delle seguenti azioni:
+ `iam:AttachRolePolicy`
+ `iam:CreatePolicy`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `s3:GetBucketVersioning`
+ `s3:GetObjectVersionAcl`
+ `s3:GetObjectVersionForReplication`
+ `s3:GetReplicationConfiguration`
+ `s3:PutReplicationConfiguration`

Di seguito è riportato un esempio di policy IAM che include queste azioni.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetAccessPoint",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets",
                "s3:PutReplicationConfiguration",
                "s3:GetReplicationConfiguration",
                "s3:GetBucketVersioning",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionAcl",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetObjectVersion",
                "s3:GetBucketOwnershipControls",
                "s3:PutBucketOwnershipControls",
                "s3:GetObjectLegalHold",
                "s3:GetObjectRetention",
                "s3:GetBucketObjectLockConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1-*",
                "arn:aws:s3:::amzn-s3-demo-bucket2-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:List*AccessPoint*",
                "s3:GetMultiRegion*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:Get*",
                "iam:CreateServiceLinkedRole",
                "iam:CreateRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/s3*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy"
              ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/s3*",
                "arn:aws:iam::*:role/service-role/s3*"
            ]
        }
    ]
}
```

------

## Fase 2. Creazione di un ruolo IAM per Amazon S3
<a name="setting-repl-config-same-acctowner"></a>



Di default, tutte le risorse di Amazon S3, ossia bucket, oggetti e risorse secondarie correlate, sono private e solo il proprietario vi può accedere. Amazon S3 ha bisogno di autorizzazioni per leggere e replicare gli oggetti dal bucket di origine. Queste autorizzazioni vengono concesse creando un ruolo IAM e specificandolo nella configurazione della replica. 

In questa sezione vengono illustrate la policy di attendibilità e la policy di autorizzazione minima richiesta associate a questo ruolo IAM. Le procedure dettagliate di esempio forniscono step-by-step istruzioni per creare un ruolo IAM. Per ulteriori informazioni, consulta [Esempi di configurazione della replica in tempo reale](replication-example-walkthroughs.md).

**Nota**  
Se si utilizza la console per creare la configurazione di replica, è consigliabile saltare questa sezione e lasciare che sia invece la console a creare automaticamente questo ruolo IAM e le policy di attendibilità e autorizzazione necessarie.

La *policy di attendibilità* identifica le identità principali che possono assumere il ruolo IAM. La *policy di autorizzazione* specifica le azioni che il ruolo IAM può eseguire, su quali risorse e in quali condizioni. 
+ L'esempio seguente mostra una *politica di fiducia* in cui si identifica Amazon S3 come Servizio AWS principale che può assumere il ruolo:

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement":[
        {
           "Effect":"Allow",
           "Principal":{
              "Service":"s3.amazonaws.com"
           },
           "Action":"sts:AssumeRole"
        }
     ]
  }
  ```

------
+ Di seguito viene mostrata una *policy di attendibilità* esemplificativa in cui si identifica Amazon S3 e Operazioni in batch S3 come principali del servizio che può assumere il ruolo. Usare questo approccio quando si crea un processo Replica in batch. Per ulteriori informazioni, consulta [Creazione di un processo Replica in batch per nuove destinazioni o regole di replica](s3-batch-replication-new-config.md).

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement":[ 
        {
           "Effect":"Allow",
           "Principal":{
              "Service": [
                "s3.amazonaws.com",
                "batchoperations.s3.amazonaws.com"
             ]
           },
           "Action":"sts:AssumeRole"
        }
     ]
  }
  ```

------

  Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) nella *Guida per l'utente di IAM*.
+ Di seguito viene mostrata una *policy di autorizzazioni* esemplificativa in cui si concedono al ruolo IAM le autorizzazioni per eseguire attività di replica per proprio conto. Quando Amazon S3 assume il ruolo, dispone delle autorizzazioni che sono state specificate in questa policy. In questa politica, `amzn-s3-demo-source-bucket` è il bucket di origine e `amzn-s3-demo-destination-bucket` è il nome del bucket di destinazione.

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
        {
           "Effect": "Allow",
           "Action": [
              "s3:GetReplicationConfiguration",
              "s3:ListBucket"
           ],
           "Resource": [
              "arn:aws:s3:::amzn-s3-demo-source-bucket"
           ]
        },
        {
           "Effect": "Allow",
           "Action": [
              "s3:GetObjectVersionForReplication",
              "s3:GetObjectVersionAcl",
              "s3:GetObjectVersionTagging"
           ],
           "Resource": [
              "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
           ]
        },
        {
           "Effect": "Allow",
           "Action": [
              "s3:ReplicateObject",
              "s3:ReplicateDelete",
              "s3:ReplicateTags"
           ],
           "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        }
     ]
  }
  ```

------

  La policy di autorizzazioni concede le autorizzazioni per le seguenti azioni:
  +  `s3:GetReplicationConfiguration` e `s3:ListBucket`: le autorizzazioni per queste azioni sul bucket `amzn-s3-demo-source-bucket` consentono ad Amazon S3 di recuperare la configurazione della replica ed elencare il contenuto del bucket. (Il modello di autorizzazioni corrente richiede l'autorizzazione `s3:ListBucket` per l'accesso ai contrassegni di eliminazione.)
  + `s3:GetObjectVersionForReplication` e `s3:GetObjectVersionAcl`: le autorizzazioni per queste operazioni concesse su tutti gli oggetti permettono ad Amazon S3 di ottenere una versione dell'oggetto specifica e la lista di controllo degli accessi (ACL) associata agli oggetti. 

    
  + `s3:ReplicateObject` e `s3:ReplicateDelete`: le autorizzazioni per queste operazioni sugli oggetti nel bucket di `amzn-s3-demo-destination-bucket` permettono ad Amazon S3 di replicare gli oggetti o i contrassegni di eliminazione nel bucket di destinazione. Per informazioni sui contrassegni di eliminazione, consulta la sezione [Effetto delle operazioni di eliminazione sulla replica](replication-what-is-isnot-replicated.md#replication-delete-op). 
**Nota**  
Le autorizzazioni per l'`s3:ReplicateObject`azione sul `amzn-s3-demo-destination-bucket` bucket consentono inoltre la replica di metadati come tag di oggetti e. ACLs Pertanto non è necessario concedere esplicitamente l'autorizzazione per l'operazione `s3:ReplicateTags`.
  + `s3:GetObjectVersionTagging`: le autorizzazioni per questa azione sugli oggetti nel bucket `amzn-s3-demo-source-bucket` permettono ad Amazon S3 di leggere i tag degli oggetti per la replica. Per ulteriori informazioni sui tag degli oggetti, consulta [Classificazione degli oggetti utilizzando i tag](object-tagging.md). Se non dispone dell'autorizzazione `s3:GetObjectVersionTagging`, Amazon S3 replica gli oggetti ma non i relativi tag.

  Per visualizzare un elenco di operazioni Amazon S3, consulta [Operazioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#list_amazons3-actions-as-permissions) nella *Guida di riferimento per l'autorizzazione al servizio*.

  Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).
**Importante**  
Il Account AWS proprietario del ruolo IAM deve disporre delle autorizzazioni per le azioni che concede al ruolo IAM.   
Supponiamo ad esempio che il bucket di origine contenga oggetti di proprietà di un altro Account AWS. Il proprietario degli oggetti deve concedere esplicitamente al proprietario del Account AWS ruolo IAM le autorizzazioni richieste tramite gli elenchi di controllo degli accessi degli oggetti (). ACLs In caso contrario, Amazon S3 non può accedere agli oggetti e la replica degli oggetti ha esito negativo. Per informazioni sulle autorizzazioni ACL, consulta la sezione [Panoramica delle liste di controllo accessi (ACL)](acl-overview.md).  
  
Le autorizzazioni descritte si riferiscono alla configurazione di replica minima. Se scegli di aggiungere configurazioni di replica facoltative, è necessario fornire ulteriori autorizzazioni ad Amazon S3:   
Per replicare oggetti crittografati, è necessario anche fornire le autorizzazioni per la chiave AWS Key Management Service (AWS KMS) necessarie. Per ulteriori informazioni, consulta [Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Per utilizzare Object Lock con la replica, devi concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) che usi per configurare la replica. Le due nuove autorizzazioni aggiuntive sono `s3:GetObjectRetention` e `s3:GetObjectLegalHold`. Se il ruolo dispone di un'istruzione di autorizzazione `s3:Get*`, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta [Utilizzo di Object Lock con la replica S3](object-lock-managing.md#object-lock-managing-replication).

## (Facoltativo) Fase 3: Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS
<a name="setting-repl-config-crossacct"></a>

Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket di destinazione deve aggiungere anche una policy di bucket per concedere al proprietario del bucket di origine le autorizzazioni per eseguire le operazioni di replica, come mostrato nel seguente esempio. In questa policy di esempio, `amzn-s3-demo-destination-bucket` è il nome del bucket di destinazione.

È possibile utilizzare la console Amazon S3 anche per generare automaticamente questa policy di bucket. Per ulteriori informazioni, consulta [Abilita la ricezione di oggetti replicati da un bucket di origine](#receiving-replicated-objects).

**Nota**  
Il formato ARN del ruolo può apparire diverso. Se il ruolo è stato creato utilizzando la console, il formato ARN è `arn:aws:iam::account-ID:role/service-role/role-name`. Se il ruolo è stato creato utilizzando il AWS CLI, il formato ARN è. `arn:aws:iam::account-ID:role/role-name` Per ulteriori informazioni, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) nella *Guida per l'utente IAM*. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "PolicyForDestinationBucket",
    "Statement": [
        {
            "Sid": "Permissions on objects",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:ReplicateDelete",
                "s3:ReplicateObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        },
        {
            "Sid": "Permissions on bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:List*",
                "s3:GetBucketVersioning",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
        }
    ]
}
```

------

Per vedere un esempio, consulta [Configurazione della replica per i bucket in account diversi](replication-walkthrough-2.md).

In presenza di oggetti con tag nel bucket di origine, tenere in considerazione quanto segue:
+ Se il proprietario del bucket di origine concede ad Amazon S3 l'autorizzazione per le operazioni `s3:GetObjectVersionTagging` e `s3:ReplicateTags` per replicare i tag degli oggetti (tramite il ruolo IAM), Amazon S3 replica i tag insieme agli oggetti. Per informazioni sul ruolo IAM, consulta [Fase 2. Creazione di un ruolo IAM per Amazon S3](#setting-repl-config-same-acctowner).
+ Se il proprietario del bucket di destinazione non desidera replicare i tag, può aggiungere l'istruzione seguente alla policy del bucket di destinazione per rifiutare esplicitamente l'autorizzazione per l'operazione `s3:ReplicateTags`. In questa politica, `amzn-s3-demo-destination-bucket`è il nome del bucket di destinazione.

  ```
  ...
     "Statement":[
        {
           "Effect":"Deny",
           "Principal":{
              "AWS":"arn:aws:iam::source-bucket-account-id:role/service-role/source-account-IAM-role"
           },
           "Action":"s3:ReplicateTags",
           "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        }
     ]
  ...
  ```

**Nota**  
Se si desidera replicare oggetti crittografati, è opportuno anche concedere le autorizzazioni chiave AWS Key Management Service (AWS KMS) necessarie. Per ulteriori informazioni, consulta [Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Per utilizzare Object Lock con la replica, è necessario concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono `s3:GetObjectRetention` e `s3:GetObjectLegalHold`. Se il ruolo dispone di un'istruzione di autorizzazione `s3:Get*`, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta [Utilizzo di Object Lock con la replica S3](object-lock-managing.md#object-lock-managing-replication). 

**Abilitare la ricezione di oggetti replicati da un bucket di origine**  
Anziché aggiungere manualmente la policy precedente al bucket di destinazione, è possibile generare rapidamente le policy necessarie per abilitare la ricezione di oggetti replicati da un bucket di origine tramite la console Amazon S3. 

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Nel pannello di navigazione a sinistra, scegli **Buckets** (Bucket).

1. Nell'elenco **Bucket**e, scegliere il bucket da utilizzare come bucket di destinazione.

1. Seleziona la scheda **Gestione**, quindi scorri verso il basso fino a **Regole di replica**.

1. Per **Operazioni**, scegliere **Ricevi oggetti replicati**. 

   **Segui le istruzioni e inserisci l' Account AWS ID dell'account bucket di origine, quindi scegli Genera politiche.** La console genera una policy del bucket Amazon S3 e una policy della chiave KMS.

1. Per aggiungere questa policy alla policy del bucket esistente, scegli **Applica le impostazioni** oppure scegli **Copia** per copiare manualmente le modifiche. 

1. (Facoltativo) Copia la AWS KMS politica nella policy chiave KMS desiderata nella console. AWS Key Management Service 

## (Facoltativo) Fase 4. Concessione di autorizzazioni per modificare la proprietà della replica
<a name="change-replica-ownership"></a>

Se Account AWS il bucket di origine e quello di destinazione sono diversi, puoi chiedere ad Amazon S3 di cambiare la proprietà della replica con quella proprietaria del bucket di Account AWS destinazione. Per ignorare la proprietà delle repliche, è necessario fornire alcune autorizzazioni aggiuntive o modificare le impostazioni Proprietà dell’oggetto S3 per il bucket di destinazione. Per ulteriori informazioni sulla sovrascrittura del proprietario, consulta [Modifica del proprietario della replica](replication-change-owner.md).

# Esempi di configurazione della replica in tempo reale
<a name="replication-example-walkthroughs"></a>

Gli esempi seguenti forniscono step-by-step procedure dettagliate che mostrano come configurare la replica in tempo reale per casi d'uso comuni. 

**Nota**  
La replica in tempo reale fa riferimento alla replica nella stessa regione (SRR) e alla replica tra regioni (CRR). La replica in tempo reale non esegue la replica degli oggetti esistenti nel bucket prima della configurazione della replica. Per replicare oggetti esistenti prima della configurazione della replica, occorre ricorrere alla replica on demand. Per sincronizzare bucket e replicare gli oggetti esistenti on demand, consulta [Replica di oggetti esistenti](s3-batch-replication-batch.md).

Questi esempi dimostrano come creare una configurazione di replica utilizzando la console Amazon S3 AWS Command Line Interface ,AWS CLI() AWS SDKs e AWS SDK per Java ( AWS SDK per .NET e vengono mostrati alcuni esempi). 

*Per informazioni sull'installazione e la configurazione di AWS CLI, consulta i seguenti argomenti nella Guida per l'AWS Command Line Interface utente:*
+  [Inizia con AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) 
+  [Configura il AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html): devi configurare almeno un profilo. Se stai esplorando scenari per più account, devi impostare due profili.

Per informazioni su AWS SDKs, vedere [AWS SDK per Java](https://aws.amazon.com/sdk-for-java/)e [AWS SDK per .NET](https://aws.amazon.com/sdk-for-net/).

**Suggerimento**  
Per un step-by-step tutorial che dimostra come utilizzare la replica in tempo reale per replicare i dati, consulta [Tutorial: Replica dei dati all'interno e tra Regioni AWS utilizzando S3 Replication](https://aws.amazon.com/getting-started/hands-on/replicate-data-using-amazon-s3-replication/?ref=docs_gateway/amazons3/replication-example-walkthroughs.html).

**Topics**
+ [Configurazione per i bucket nello stesso account](replication-walkthrough1.md)
+ [Configurazione per i bucket in account diversi](replication-walkthrough-2.md)
+ [Utilizzo di S3 Replication Time Control](replication-time-control.md)
+ [Replica di oggetti crittografati](replication-config-for-kms-objects.md)
+ [Replica delle modifiche ai metadati](replication-for-metadata-changes.md)
+ [Replica dei contrassegni di eliminazione](delete-marker-replication.md)

# Configurazione della replica per i bucket nello stesso account
<a name="replication-walkthrough1"></a>

La replica live è la copia automatica e asincrona di oggetti su bucket generici uguali o diversi. Regioni AWS La replica in tempo reale copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine in uno o più bucket di destinazione. Per ulteriori informazioni, consulta [Replica di oggetti all'interno e tra le Regioni](replication.md).

Quando si configura la replica, vengono aggiunte le regole di replica al bucket di origine. Le regole di replica definiscono gli oggetti del bucket di origine da replicare e i bucket di destinazione in cui vengono archiviati gli oggetti replicati. È possibile creare una regola per replicare tutti gli oggetti in un bucket o un sottoinsieme di oggetti con un prefisso di nome di chiave specifico, uno o più tag di oggetto o entrambi gli elementi. Un bucket di destinazione può trovarsi nello stesso Account AWS del bucket di origine oppure può trovarsi in un account diverso.

Se specifichi l'ID della versione dell'oggetto da eliminare, Amazon S3 elimina la versione dell'oggetto nel bucket di origine. Ma non replica l'eliminazione nel bucket di destinazione. In altre parole, non elimina la stessa versione dell'oggetto dal bucket di destinazione. Ciò permette di proteggere i dati da eliminazioni da parte di utenti malintenzionati.

Quando si aggiunge una regola di replica a un bucket, la regola viene abilitata per impostazione predefinita e pertanto inizia a funzionare non appena viene salvata. 

In questo esempio viene configurata la replica per i bucket di origine e di destinazione di proprietà dello stesso Account AWS. Vengono forniti esempi per l'utilizzo della console Amazon S3, di AWS Command Line Interface (AWS CLI) e di and. AWS SDK per Java AWS SDK per .NET

## Prerequisiti
<a name="replication-prerequisites"></a>

Prima di utilizzare le seguenti procedure, assicurati di aver impostato le autorizzazioni necessarie per la replica, a seconda che i bucket di origine e destinazione siano di proprietà dello stesso account o di account diversi. Per ulteriori informazioni, consulta [Configurazione delle autorizzazioni per la replica in tempo reale](setting-repl-config-perm-overview.md).

**Nota**  
Se si desidera replicare oggetti crittografati, è opportuno anche concedere le autorizzazioni chiave AWS Key Management Service (AWS KMS) necessarie. Per ulteriori informazioni, consulta [Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Per utilizzare Object Lock con la replica, devi concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono `s3:GetObjectRetention` e `s3:GetObjectLegalHold`. Se il ruolo dispone di un'istruzione di autorizzazione `s3:Get*`, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta [Utilizzo di Object Lock con la replica S3](object-lock-managing.md#object-lock-managing-replication). 

## Utilizzo della console S3
<a name="enable-replication"></a>

Per configurare una regola di replica quando il bucket di destinazione si trova nello stesso bucket di origine, segui Account AWS questi passaggi.

Se il bucket di destinazione si trova in un account diverso rispetto al bucket di origine, è necessario aggiungere al bucket di destinazione una policy di bucket per concedere al proprietario dell'account del bucket di origine l'autorizzazione per replicare gli oggetti nel bucket di destinazione. Per ulteriori informazioni, consulta [(Facoltativo) Fase 3: Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS](setting-repl-config-perm-overview.md#setting-repl-config-crossacct).

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Nel riquadro di navigazione sinistro, scegli **Bucket per uso generico**.

1. Nell’elenco dei bucket scegli il nome del bucket desiderato.

1. Seleziona la scheda **Gestione**, scorri verso il basso fino a **Regole di replica** e quindi scegli **Crea regola di replica**.

    

1. Nella sezione **Configurazione della regola di replica**, in **Nome della regola di replica**, specifica il nome della regola per semplificarne l'identificazione in un secondo momento. Il nome è obbligatorio e deve essere univoco all'interno del bucket.

1. In **Status (Stato)**, l'opzione **Enabled (Abilitata)** è selezionata per impostazione predefinita. Una regola abilitata inizia a funzionare non appena viene salvata. Se desideri abilitare la regola in un secondo momento, scegli **Disabilitata**.

1. Se il bucket dispone di regole di replica esistenti, viene chiesto di impostare una priorità per la regola. È necessario impostare una priorità per la regola per evitare i conflitti causati dagli oggetti inclusi nell'ambito di più regole. In caso di regole sovrapposte, Amazon S3 utilizza la priorità delle regole per determinare quale regola applicare. Più elevato è il numero, maggiore è la priorità. Per ulteriori informazioni sulla priorità delle regole, consulta [Elementi del file di configurazione della replica](replication-add-config.md).

1. In **Bucket di origine** sono disponibili le seguenti opzioni per l'impostazione dell'origine della replica:
   + Per replicare l'intero bucket, scegli **Apply to all objects in the bucket** (Applica a tutti gli oggetti nel bucket). 
   + Per replicare tutti gli oggetti con lo stesso prefisso, scegli **Limita l'ambito di questa regola utilizzando uno o più filtri**. Ciò limita la replica a tutti gli oggetti con nomi che iniziano il prefisso specificato, ad esempio `pictures`. Immetti un prefisso nella casella **Prefisso**. 
**Nota**  
Se si immette un prefisso corrispondente al nome di una cartella, è necessario utilizzare **/** (barra) come ultimo carattere (ad esempio, `pictures/`).
   + Per replicare tutti gli oggetti con uno o più tag oggetto, scegli **Aggiungi tag** e specifica la coppia chiave-valore nelle caselle. Per aggiungere un altro tag, ripetere la procedura. È possibile combinare un prefisso con i tag. Per ulteriori informazioni sui tag degli oggetti, consulta [Classificazione degli oggetti utilizzando i tag](object-tagging.md).

   Il nuovo schema XML della configurazione della replica supporta il filtro basato su prefissi e tag e l'impostazione della priorità delle regole. Per ulteriori informazioni sul nuovo schema, consulta [Considerazioni sulla compatibilità con le versioni precedenti](replication-add-config.md#replication-backward-compat-considerations). Per ulteriori informazioni sull'XML utilizzato con l'API Amazon S3 che funziona con l'interfaccia utente, consulta [Elementi del file di configurazione della replica](replication-add-config.md). Il nuovo schema è descritto come *configurazione di replica XML V2*.

1. In **Destinazione**, scegli il bucket in cui desideri che Amazon S3 esegui la replica degli oggetti.
**Nota**  
Il numero di bucket di destinazione è limitato al numero di bucket Regioni AWS presenti in una determinata partizione. Una partizione è un raggruppamento di regioni. AWS attualmente ha tre partizioni: `aws` (Regioni standard), `aws-cn` (Regioni della Cina) e `aws-us-gov` (AWS GovCloud (US) Regioni). È possibile utilizzare le [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) per richiedere un aumento del limite per i bucket di destinazione.
   + Per eseguire la replica in un periodo fisso nel tuo account, seleziona **Scegli un bucket in questo account** e digita o cerca i bucket di destinazione. 
   + Per eseguire la replica in uno o più bucket in un altro account Account AWS, scegli **Specificare un bucket in un altro account e inserisci l'ID dell'account** del bucket di destinazione e il nome del bucket. 

     Se il bucket di destinazione si trova in un account diverso rispetto al bucket di origine, dovrai aggiungere ai bucket di destinazione una policy di bucket per concedere al proprietario dell'account del bucket di origine l'autorizzazione per replicare gli oggetti nei bucket di destinazione. Per ulteriori informazioni, consulta [(Facoltativo) Fase 3: Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS](setting-repl-config-perm-overview.md#setting-repl-config-crossacct).

     Facoltativamente, se desideri standardizzare la proprietà dei nuovi oggetti nel bucket di destinazione, seleziona **Assegna la proprietà degli oggetti al proprietario del bucket di destinazione**. Per ulteriori informazioni su questa opzione, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).
**Nota**  
Se la funzione Controllo delle versioni non è abilitata nel bucket di destinazione, viene visualizzato un messaggio di avviso contenente un pulsante **Abilita Controllo delle versioni**. Seleziona questo pulsante per abilitare la funzione Controllo delle versioni nel bucket.

1. Imposta un ruolo AWS Identity and Access Management (IAM) che Amazon S3 può assumere per replicare gli oggetti per tuo conto.

   Per impostare un ruolo IAM, nella sezione **Ruolo IAM** seleziona uno dei seguenti valori nell'elenco a discesa **Ruolo IAM**:
   + Consigliamo di scegliere **Crea nuovo ruolo** per fare in modo che Amazon S3 crei un nuovo ruolo IAM per l'utente. Quando salvi la regola, viene generata una nuova policy per il ruolo IAM corrispondente ai bucket di origine e di destinazione scelti.
   + Puoi decidere di utilizzare un ruolo IAM esistente. In tal caso, è necessario scegliere un ruolo che conceda ad Amazon S3 le autorizzazioni necessarie per la replica. Se questo ruolo non concede autorizzazioni sufficienti ad Amazon S3 per seguire la regola di replica, la replica non riesce.
**Importante**  
Quando si aggiunge una regola di replica a un bucket, si deve disporre dell'autorizzazione `iam:PassRole` per poter passare il ruolo IAM che concede le autorizzazioni di replica Amazon S3. Per ulteriori informazioni, consulta [Concessione di autorizzazioni utente per il passaggio di un ruolo a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella *Guida per l'utente di IAM*.

1. ****Per replicare gli oggetti nel bucket di origine che sono crittografati con crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), in Crittografia, seleziona Replica oggetti crittografati con. AWS KMS**** In **Chiavi AWS KMS per crittografare gli oggetti di destinazione** sono disponibili le chiavi di origine che consentono la replica da utilizzare. Tutte le chiavi KMS di origine sono incluse per impostazione predefinita. Per limitare la selezione delle chiavi KMS, puoi scegliere un alias o un ID chiave. 

   Gli oggetti crittografati da quelli non selezionati AWS KMS keys non vengono replicati. Viene scelta una chiave KMS o un gruppo di chiavi KMS, ma se lo desideri puoi scegliere le chiavi KMS. Per informazioni sull'utilizzo AWS KMS con la replica, vedere. [Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md)
**Importante**  
Quando si replicano oggetti crittografati con AWS KMS, la frequenza di AWS KMS richiesta raddoppia nella regione di origine e aumenta nella regione di destinazione dello stesso importo. L'aumento delle frequenze di chiamata è dovuto al modo in cui i dati AWS KMS vengono ricrittografati utilizzando la chiave KMS definita per la regione di destinazione della replica. AWS KMS ha una quota di frequenza di richiesta per account chiamante per regione. Per informazioni sulle quote predefinite, consulta la sezione [Quote di AWS KMS - richieste al secondo: variabili](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second) nella *Guida per gli sviluppatori di AWS Key Management Service *.   
Se la tua attuale frequenza di richieste di `PUT` oggetti Amazon S3 durante la replica è superiore alla metà del limite di AWS KMS velocità predefinito per il tuo account, ti consigliamo di richiedere un aumento della quota di frequenza delle AWS KMS richieste. Per richiedere un incremento, invia una richiesta tramite il Supporto Center nella sezione [Contatti](https://aws.amazon.com/contact-us/). Ad esempio, supponiamo che la tua attuale frequenza di richieste di `PUT` oggetti sia di 1.000 richieste al secondo e che tu le utilizzi per AWS KMS crittografare gli oggetti. In questo caso, ti consigliamo di chiedere Supporto di aumentare il limite AWS KMS di frequenza a 2.500 richieste al secondo, sia nella regione di origine che in quella di destinazione (se diversa), per evitare limitazioni. AWS KMS  
Per visualizzare la frequenza delle richieste di `PUT` oggetti nel bucket di origine, consulta i parametri di CloudWatch richiesta di Amazon per Amazon S3. `PutRequests` Per informazioni sulla visualizzazione delle CloudWatch metriche, consulta. [Utilizzo della console S3](configure-request-metrics-bucket.md#configure-metrics)

   Se hai scelto di replicare gli oggetti crittografati con AWS KMS, procedi come segue: 

   1. In **AWS KMS key per crittografare gli oggetti di destinazione**, specifica la tua chiave KMS in uno dei seguenti modi:
     + Per effettuare una selezione in un elenco di chiavi KMS disponibili, seleziona **Scegli tra le chiavi AWS KMS keys** e quindi scegli una **chiave KMS** dell'elenco delle chiavi disponibili.

       In questo elenco vengono visualizzate sia la chiave Chiave gestita da AWS (`aws/s3`) che quella gestita dal cliente. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta [Chiavi gestite dal cliente e chiavi AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) nella *Guida per gli sviluppatori di AWS Key Management Service *.
     + Per inserire il nome della risorsa Amazon (ARN) della chiave KMS, scegli **Inserisci ARN AWS KMS key ** e specifica l'ARN della chiave KMS nel campo visualizzato. In questo modo vengono crittografate le repliche nel bucket di destinazione. È possibile trovare l'ARN per la chiave KMS nella [console IAM](https://console.aws.amazon.com/iam/) in **Chiavi di crittografia**. 
     + Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli **Crea una chiave KMS**.

       Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta [Creating keys](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) nella *AWS Key Management Service Developer Guide*.
**Importante**  
Puoi usare solo chiavi KMS abilitate nello Regione AWS stesso bucket. Quando selezioni **Scegli tra le chiavi KMS**, la console S3 elenca solo 100 chiavi KMS per regione. Se hai oltre 100chiavi KMS nella stessa regione, puoi vedere solo i primi le prime 100 nella console S3. Per utilizzare una chiave KMS non elencata nella console, seleziona **Inserisci ARN AWS KMS key ** e specifica l'ARN della chiave KMS.  
Quando utilizzi una chiave KMS AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Amazon S3 supporta solo chiavi KMS di crittografia simmetriche e non chiavi KMS asimmetriche. Per ulteriori informazioni, consulta [Identificazione delle chiavi KMS simmetriche e asimmetriche](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

     *Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta [Creating](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) keys nella Developer Guide.AWS Key Management Service * Per ulteriori informazioni sull'utilizzo AWS KMS con Amazon S3, consulta. [Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS](UsingKMSEncryption.md)

1. In **Classe di storage di destinazione**, per replicare i dati in una classe di archiviazione specifica nel bucket di destinazione, seleziona **Modifica classe di archiviazione per gli oggetti replicati**. Scegli quindi la classe di storage che desideri utilizzare per gli oggetti replicati nel bucket di destinazione. Se non selezioni questa opzione, la classe di storage per gli oggetti replicati sarà la stessa degli oggetti originali.

1. Durante l'impostazione dei valori in **Opzioni di replica aggiuntive**, sono disponibili le seguenti opzioni aggiuntive:
   + Se desideri abilitare la funzionalità di controllo del tempo di replica di S3 (S3 RTC) nella configurazione della replica, seleziona **Controllo del tempo di replica (RTC)**. Per ulteriori informazioni su questa opzione, consulta [Soddisfazione dei requisiti di conformità con il controllo del tempo di replica di Amazon S3](replication-time-control.md).
   + Se desideri abilitare i parametri di replica S3 nella configurazione di replica, seleziona **Replication metrics and events** (Parametri ed eventi di replica). Per ulteriori informazioni, consulta [Monitoraggio della replica con parametri, notifiche di eventi e stati](replication-metrics.md).
   + Se desideri abilitare la replica del contrassegno di eliminazione nella configurazione di replica, seleziona **Replica del contrassegno di eliminazione**. Per ulteriori informazioni, consulta [Replica dei contrassegni di eliminazione tra i bucket](delete-marker-replication.md).
   + Se desideri abilitare la sincronizzazione delle modifiche alla replica di Amazon S3 nella configurazione di replica, seleziona **Sincronizzazione delle modifiche alla replica**. Per ulteriori informazioni, consulta [Replica delle modifiche ai metadati con la sincronizzazione delle modifiche alla replica](replication-for-metadata-changes.md).
**Nota**  
Quando si utilizzano i parametri di replica S3 RTC o S3, si applicano costi aggiuntivi.

1. Per terminare, seleziona **Salva**.

1. Dopo aver salvato la regola, potrai modificare, abilitare, disabilitare o eliminare la regola selezionando la regola e scegliendo **Modifica regola**. 

## Usando il AWS CLI
<a name="replication-ex1-cli"></a>

Per utilizzare il AWS CLI per impostare la replica quando i bucket di origine e di destinazione sono di proprietà dello stesso Account AWS, procedi come segue:
+ Creare bucket di origine e di destinazione.
+ Abilitare il controllo delle versioni sui bucket.
+ Crea un ruolo AWS Identity and Access Management (IAM) che dia ad Amazon S3 l'autorizzazione a replicare oggetti.
+ Aggiungere la configurazione della replica al bucket di origine.

Per verificare l'impostazione, testarla.

**Per configurare la replica quando i bucket di origine e di destinazione sono di proprietà dello stesso Account AWS**

1. Impostare un profilo di credenziali per la AWS CLI. In questo esempio si utilizza il nome del profilo `acctA`. Per informazioni sull'impostazione di profili con credenziali e sull'uso di profili denominati, consulta [Impostazioni del file di configurazione e delle credenziali](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) nella *Guida per l'utente di AWS Command Line Interface *. 
**Importante**  
Il profilo utilizzato per questo esempio deve disporre delle autorizzazioni necessarie. Ad esempio, nella configurazione di replica dovrai specificare il ruolo IAM che Amazon S3 può assumere. È possibile effettuare questa operazione solo se il profilo utilizzato dispone dell'autorizzazione `iam:PassRole`. Per ulteriori informazioni, consulta [Concedere le autorizzazioni utente per il passaggio di un ruolo a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella *Guida per l'utente IAM*. Se utilizzi le credenziali di amministratore per creare un profilo con nome, puoi eseguire tutte le attività. 

1. Creare un bucket di origine e abilitare su di esso il controllo delle versioni utilizzando i seguenti comandi di AWS CLI . Per utilizzare questi comandi, sostituire *`user input placeholders`* con le proprie informazioni. 

   Il seguente comando `create-bucket` crea un bucket di origine denominato `amzn-s3-demo-source-bucket` nella Regione Stati Uniti orientali (Virginia settentrionale) (`us-east-1`).

   

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   Il seguente comando `put-bucket-versioning` abilita il controllo delle versioni S3 sul bucket `amzn-s3-demo-source-bucket`: 

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Crea un bucket di destinazione e abilita il controllo delle versioni su di esso utilizzando i seguenti comandi. AWS CLI Per utilizzare questi comandi, sostituire *`user input placeholders`* con le proprie informazioni. 
**Nota**  
Per impostare una configurazione di replica quando entrambi i bucket di origine e di destinazione si trovano nello stesso Account AWS, si utilizza lo stesso profilo per i bucket di origine e di destinazione. Questo esempio usa `acctA`.   
Per testare una configurazione di replica quando i bucket sono di proprietà di diversi Account AWS, specifica profili diversi per ogni account. Ad esempio, è possibile utilizzare un profilo `acctB` per il bucket di destinazione.

   

   Il seguente comando `create-bucket` crea un bucket di destinazione denominato `amzn-s3-demo-destination-bucket` nella Regione Stati Uniti occidentali (Oregon) (`us-west-2`):

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctA
   ```

   Il seguente comando `put-bucket-versioning` abilita il controllo delle versioni S3 sul bucket `amzn-s3-demo-destination-bucket`: 

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Creare un ruolo IAM. Specifica questo ruolo nella configurazione di replica che aggiungi al bucket *source* in un secondo momento. Amazon S3 assume questo ruolo per replicare gli oggetti per tuo conto. Il ruolo IAM si crea in due fasi:
   + Creare un ruolo.
   + Collegare una policy di autorizzazione al ruolo.

   1. Crea il ruolo IAM.

      1. Copiare la seguente policy di attendibilità e salvarla in un file denominato `s3-role-trust-policy.json` nella directory corrente sul computer locale. Questa policy concede al principale del servizio Amazon S3 le autorizzazioni per assumere il ruolo.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Per creare un ruolo, eseguire il comando seguente.

         ```
         $ aws iam create-role \
         --role-name replicationRole \
         --assume-role-policy-document file://s3-role-trust-policy.json  \
         --profile acctA
         ```

   1. Collegare una policy di autorizzazione al ruolo.

      1. Copiare la seguente policy di autorizzazioni e salvarla in un file denominato `s3-role-permissions-policy.json` nella directory corrente sul computer locale. Questa policy di accesso concede le autorizzazioni per varie operazioni su oggetti e bucket Amazon S3. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ReplicateTags"
                  ],
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               }
            ]
         }
         ```

------
**Nota**  
Se si desidera replicare oggetti crittografati, è opportuno anche concedere le autorizzazioni chiave AWS Key Management Service (AWS KMS) necessarie. Per ulteriori informazioni, consulta [Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Per utilizzare Object Lock con la replica, devi concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono `s3:GetObjectRetention` e `s3:GetObjectLegalHold`. Se il ruolo dispone di un'istruzione di autorizzazione `s3:Get*`, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta [Utilizzo di Object Lock con la replica S3](object-lock-managing.md#object-lock-managing-replication). 

      1. Eseguire il comando seguente per creare una policy e collegarla al ruolo. Sostituisci *`user input placeholders`* con le informazioni appropriate.

         ```
         $ aws iam put-role-policy \
         --role-name replicationRole \
         --policy-document file://s3-role-permissions-policy.json \
         --policy-name replicationRolePolicy \
         --profile acctA
         ```

1. Aggiungi una configurazione di replica al bucket di origine. 

   1. Sebbene l'API Amazon S3 richieda di specificare la configurazione di replica come XML, AWS CLI richiede di specificare la configurazione di replica come JSON. Salvare il seguente JSON in un file denominato `replication.json` nella directory locale sul computer in uso.

      ```
      {
        "Role": "IAM-role-ARN",
        "Rules": [
          {
            "Status": "Enabled",
            "Priority": 1,
            "DeleteMarkerReplication": { "Status": "Disabled" },
            "Filter" : { "Prefix": "Tax"},
            "Destination": {
              "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
            }
          }
        ]
      }
      ```

   1. Aggiornare il JSON sostituendo i valori di `amzn-s3-demo-destination-bucket` e `IAM-role-ARN` con le proprie informazioni. Salvare le modifiche.

   1. Eseguire il seguente comando `put-bucket-replication` per aggiungere la configurazione della replica al bucket di origine. Assicurarsi di fornire il nome del bucket di origine:

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

   Per recuperare la configurazione della replica, utilizzare il comando `get-bucket-replication`:

   ```
   $ aws s3api get-bucket-replication \
   --bucket amzn-s3-demo-source-bucket \
   --profile acctA
   ```

1. Verificare la configurazione nella console Amazon S3 eseguendo i seguenti passaggi:

   1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   1. Nel pannello di navigazione a sinistra, scegli **Buckets** (Bucket). Scegli il bucket di origine nell'elenco **Bucket per uso generico**.

   1. Nel bucket di origine creare una cartella denominata `Tax`. 

   1. Aggiungere oggetti di esempio alla cartella `Tax` nel bucket di origine. 
**Nota**  
Il tempo richiesto da Amazon S3 per la replica di un oggetto dipende dalle dimensioni dell'oggetto. Per informazioni su come visualizzare lo stato della replica, consulta la sezione [Ottenimento delle informazioni sullo stato della replica](replication-status.md).

      Nel bucket di *destinazione*, verificare quanto segue:
      + Amazon S3 ha replicato gli oggetti.
      + Gli oggetti sono repliche. Nella scheda **Proprietà** degli oggetti, scorrere verso il basso fino alla sezione **Panoramica della gestione degli oggetti**. In **Configurazioni di gestione**, controllare il valore in **Stato della replica**. Assicurarsi che questo valore sia impostato su `REPLICA`.
      + Le repliche sono di proprietà dell'account del bucket di origine. È possibile verificare la proprietà dell'oggetto nella scheda **Autorizzazioni** degli oggetti. 

        Se i bucket di origine e di destinazione sono di proprietà di account diversi, è possibile aggiungere una configurazione ottimale per indicare ad Amazon S3 di modificare la proprietà di una replica nell'account di destinazione. Per vedere un esempio, consulta [Come modificare il proprietario della replica](replication-change-owner.md#replication-walkthrough-3). 

## Utilizzando il AWS SDKs
<a name="replication-ex1-sdk"></a>

Utilizzate i seguenti esempi di codice per aggiungere una configurazione di replica a un bucket con AWS SDK per .NET, AWS SDK per Java rispettivamente.

**Nota**  
Se si desidera replicare oggetti crittografati, è opportuno anche concedere le autorizzazioni chiave AWS Key Management Service (AWS KMS) necessarie. Per ulteriori informazioni, consulta [Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Per utilizzare Object Lock con la replica, è necessario concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per impostare la replica. Le due nuove autorizzazioni aggiuntive sono `s3:GetObjectRetention` e `s3:GetObjectLegalHold`. Se il ruolo dispone di un'istruzione di autorizzazione `s3:Get*`, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta [Utilizzo di Object Lock con la replica S3](object-lock-managing.md#object-lock-managing-replication). 

------
#### [ Java ]

Per aggiungere una configurazione di replica a un bucket e quindi recuperare e verificare la configurazione utilizzando l'SDK for AWS Java, puoi utilizzare S3Client per gestire le impostazioni di replica a livello di codice.

Per esempi di come configurare la replica con l' AWS SDK for Java, [consulta Impostare la configurazione di replica su un](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_PutBucketReplication_section.html) bucket nel riferimento alle API di Amazon *S3*.

------
#### [ C\$1 ]

Il seguente esempio di AWS SDK per .NET codice aggiunge una configurazione di replica a un bucket e quindi la recupera. Per utilizzare questo codice, fornisci i nomi dei bucket e l'Amazon Resource Name (ARN) per il ruolo IAM. Per informazioni sulla configurazione e l'esecuzione degli esempi di codice, consulta [Nozioni di base su AWS SDK per .NET](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/net-dg-config.html) nella *Guida per gli sviluppatori di AWS SDK per .NET *. 

```
using Amazon;
using Amazon.S3;
using Amazon.S3.Model;
using System;
using System.Threading.Tasks;

namespace Amazon.DocSamples.S3
{
    class CrossRegionReplicationTest
    {
        private const string sourceBucket = "*** source bucket ***";
        // Bucket ARN example - arn:aws:s3:::destinationbucket
        private const string destinationBucketArn = "*** destination bucket ARN ***";
        private const string roleArn = "*** IAM Role ARN ***";
        // Specify your bucket region (an example region is shown).
        private static readonly RegionEndpoint sourceBucketRegion = RegionEndpoint.USWest2;
        private static IAmazonS3 s3Client;
        public static void Main()
        {
            s3Client = new AmazonS3Client(sourceBucketRegion);
            EnableReplicationAsync().Wait();
        }
        static async Task EnableReplicationAsync()
        {
            try
            {
                ReplicationConfiguration replConfig = new ReplicationConfiguration
                {
                    Role = roleArn,
                    Rules =
                        {
                            new ReplicationRule
                            {
                                Prefix = "Tax",
                                Status = ReplicationRuleStatus.Enabled,
                                Destination = new ReplicationDestination
                                {
                                    BucketArn = destinationBucketArn
                                }
                            }
                        }
                };

                PutBucketReplicationRequest putRequest = new PutBucketReplicationRequest
                {
                    BucketName = sourceBucket,
                    Configuration = replConfig
                };

                PutBucketReplicationResponse putResponse = await s3Client.PutBucketReplicationAsync(putRequest);

                // Verify configuration by retrieving it.
                await RetrieveReplicationConfigurationAsync(s3Client);
            }
            catch (AmazonS3Exception e)
            {
                Console.WriteLine("Error encountered on server. Message:'{0}' when writing an object", e.Message);
            }
            catch (Exception e)
            {
                Console.WriteLine("Unknown encountered on server. Message:'{0}' when writing an object", e.Message);
            }
        }
        private static async Task RetrieveReplicationConfigurationAsync(IAmazonS3 client)
        {
            // Retrieve the configuration.
            GetBucketReplicationRequest getRequest = new GetBucketReplicationRequest
            {
                BucketName = sourceBucket
            };
            GetBucketReplicationResponse getResponse = await client.GetBucketReplicationAsync(getRequest);
            // Print.
            Console.WriteLine("Printing replication configuration information...");
            Console.WriteLine("Role ARN: {0}", getResponse.Configuration.Role);
            foreach (var rule in getResponse.Configuration.Rules)
            {
                Console.WriteLine("ID: {0}", rule.Id);
                Console.WriteLine("Prefix: {0}", rule.Prefix);
                Console.WriteLine("Status: {0}", rule.Status);
            }
        }
    }
}
```

------

# Configurazione della replica per i bucket in account diversi
<a name="replication-walkthrough-2"></a>

La replica in tempo reale è la copia automatica e asincrona di oggetti tra bucket uguali o diversi. Regioni AWS La replica in tempo reale copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine in uno o più bucket di destinazione. Per ulteriori informazioni, consulta [Replica di oggetti all'interno e tra le Regioni](replication.md).

Quando si configura la replica, vengono aggiunte le regole di replica al bucket di origine. Le regole di replica definiscono gli oggetti del bucket di origine da replicare e i bucket di destinazione in cui vengono archiviati gli oggetti replicati. È possibile creare una regola per replicare tutti gli oggetti in un bucket o un sottoinsieme di oggetti con un prefisso di nome di chiave specifico, uno o più tag di oggetto o entrambi gli elementi. Un bucket di destinazione può trovarsi nello stesso Account AWS del bucket di origine oppure può trovarsi in un account diverso.

Se specifichi l'ID della versione dell'oggetto da eliminare, Amazon S3 elimina la versione dell'oggetto nel bucket di origine. Ma non replica l'eliminazione nel bucket di destinazione. In altre parole, non elimina la stessa versione dell'oggetto dal bucket di destinazione. Ciò permette di proteggere i dati da eliminazioni da parte di utenti malintenzionati.

Quando si aggiunge una regola di replica a un bucket, la regola viene abilitata per impostazione predefinita e pertanto inizia a funzionare non appena viene salvata. 

La configurazione della replica in tempo reale quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi prevede una procedura simile a quella della configurazione della replica quando entrambi i bucket sono di proprietà dello stesso account. Tuttavia, esistono varie differenze quando si configura la replica in uno scenario comprendente più account: 
+ Il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine l'autorizzazione necessaria per replicare gli oggetti nella policy del bucket di destinazione. 
+ Quando si replicano oggetti crittografati mediante crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) in uno scenario multi-account, il proprietario della chiave KMS deve concedere al proprietario del bucket di origine l'autorizzazione per utilizzare la chiave KMS. Per ulteriori informazioni, consulta [Concessione di autorizzazioni aggiuntive per scenari multi-account](replication-config-for-kms-objects.md#replication-kms-cross-acct-scenario). 
+ Per impostazione predefinita, gli oggetti replicati appartengono al proprietario del bucket di origine. In uno scenario multi-account, è possibile configurare la replica per trasferire la proprietà degli oggetti replicati al proprietario del bucket di destinazione. Per ulteriori informazioni, consulta [Modifica del proprietario della replica](replication-change-owner.md).

**Per configurare la replica quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS**

1. In questo esempio i bucket di origine e di destinazione vengono creati in due Account AWS diversi. È necessario disporre di due profili di credenziali impostati per AWS CLI. Questo esempio utilizza `acctA` e `acctB` per i nomi di tali profili. Per informazioni sull'impostazione di profili con credenziali e sull'uso di profili denominati, consulta [Impostazioni del file di configurazione e delle credenziali](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) nella *Guida per l'utente di AWS Command Line Interface *. 

1. Segui le step-by-step istruzioni riportate di seguito [Configurazione della replica per i bucket nello stesso account](replication-walkthrough1.md) con le seguenti modifiche:
   + Per tutti AWS CLI i comandi relativi alle attività del bucket di origine (come la creazione del bucket di origine, l'abilitazione del controllo delle versioni e la creazione del ruolo IAM), utilizza il profilo. `acctA` Utilizzare il profilo `acctB` per creare il bucket di destinazione. 
   + Assicurarsi che la policy di autorizzazione per il ruolo IAM specifichi i bucket di origine e di destinazione creati per questo esempio.

1. Nella console, aggiungere la seguente policy di bucket al bucket *di destinazione* per consentire al proprietario del bucket *di origine* di replicare gli oggetti. Per istruzioni, consulta [Aggiunta di una policy di bucket utilizzando la console di Amazon S3](add-bucket-policy.md). Assicurati di modificare la policy fornendo l' Account AWS ID del proprietario del bucket di origine, il nome del ruolo IAM e il nome del bucket di destinazione. 
**Nota**  
Per utilizzare l’esempio seguente, sostituisci `user input placeholders` con le informazioni appropriate. Sostituire `amzn-s3-demo-destination-bucket` con il nome del bucket di destinazione. Sostituire `source-bucket-account-ID:role/service-role/source-account-IAM-role` nel nome della risorsa Amazon (ARN) IAM con il ruolo IAM utilizzato per questa configurazione della replica.  
Se il ruolo del servizio IAM è stato creato manualmente, impostare il percorso del ruolo nell'ARN IAM come `role/service-role/`, come mostrato nel seguente esempio di policy. Per ulteriori informazioni, consulta [IAM ARNs nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) *User Guide*. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Id": "",
       "Statement": [
           {
               "Sid": "Set-permissions-for-objects",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
               },
               "Action": [
                   "s3:ReplicateObject",
                   "s3:ReplicateDelete"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
           },
           {
               "Sid": "Set-permissions-on-bucket",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
               },
               "Action": [
                   "s3:GetBucketVersioning",
                   "s3:PutBucketVersioning"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
           }
       ]
   }
   ```

------

1. (Facoltativo) Quando si replicano oggetti crittografati mediante SSE-KMS, il proprietario della chiave KMS deve concedere al proprietario del bucket di origine l'autorizzazione per utilizzare la chiave KMS. Per ulteriori informazioni, consulta [Concessione di autorizzazioni aggiuntive per scenari multi-account](replication-config-for-kms-objects.md#replication-kms-cross-acct-scenario).

1. (Facoltativo) Nella replica il proprietario dell'oggetto di origine possiede la replica stessa per impostazione predefinita. Quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS, puoi aggiungere impostazioni di configurazione opzionali per modificare la proprietà della replica a Account AWS quella proprietaria dei bucket di destinazione. Ciò include la concessione dell'autorizzazione `ObjectOwnerOverrideToBucketOwner`. Per ulteriori informazioni, consulta [Modifica del proprietario della replica](replication-change-owner.md).

# Modifica del proprietario della replica
<a name="replication-change-owner"></a>

Nella replica, il proprietario dell'oggetto di origine possiede anche la replica per impostazione predefinita. Tuttavia, quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS, potresti voler modificare la proprietà della replica. Ad esempio, è preferibile modificare la proprietà per limitare l'accesso alle repliche degli oggetti. Nella configurazione di replica, è possibile aggiungere impostazioni di configurazione opzionali per modificare la proprietà della replica a Account AWS quella proprietaria dei bucket di destinazione. 

Per modificare il proprietario della replica, procedere come segue:
+ Aggiungere l'opzione di *sostituzione del proprietario* alla configurazione della replica per indicare ad Amazon S3 di modificare la proprietà della replica. 
+ Concedere ad Amazon S3 l'autorizzazione `s3:ObjectOwnerOverrideToBucketOwner` per modificare la proprietà della replica. 
+ Aggiungere l'autorizzazione `s3:ObjectOwnerOverrideToBucketOwner` alla policy del bucket di destinazione per consentire la modifica della proprietà della replica. L'autorizzazione `s3:ObjectOwnerOverrideToBucketOwner` consente al proprietario dei bucket di destinazione di accettare la proprietà delle repliche degli oggetti.

Per ulteriori informazioni, consultare [Considerazioni sull'opzione di sostituzione della proprietà](#repl-ownership-considerations) e [Aggiunta dell'opzione di sostituzione del proprietario alla configurazione della replica](#repl-ownership-owneroverride-option). Per un esempio pratico con step-by-step istruzioni, vedere. [Come modificare il proprietario della replica](#replication-walkthrough-3)

**Importante**  
Anziché utilizzare l'opzione di sostituzione del proprietario, è possibile utilizzare l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto. Quando si utilizza la replica e i bucket di origine e di destinazione sono di proprietà di diversi Account AWS, il proprietario del bucket di destinazione può utilizzare l'impostazione imposta dal proprietario del bucket per Object Ownership per modificare la proprietà della replica con quella proprietaria del bucket di destinazione. Account AWS Questa impostazione disabilita gli elenchi di controllo dell'accesso agli oggetti (). ACLs   
L'impostazione Proprietario del bucket applicato imita il comportamento di sovrascrittura del proprietario esistente senza la necessità dell'autorizzazione `s3:ObjectOwnerOverrideToBucketOwner`. Tutti gli oggetti replicati nel bucket di destinazione con l'impostazione proprietario del bucket applicato sono di proprietà del proprietario del bucket di destinazione. Per ulteriori informazioni su Object Ownership, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).

## Considerazioni sull'opzione di sostituzione della proprietà
<a name="repl-ownership-considerations"></a>

Quando configuri l'opzione di sostituzione del proprietario, si applicano le seguenti considerazioni:
+ Per impostazione predefinita, il proprietario dell'oggetto di origine possiede anche la replica. Amazon S3 replica la versione dell'oggetto e l'ACL associata.

  Se si aggiunge l'opzione di sostituzione del proprietario alla configurazione della replica, Amazon S3 replica solo la versione dell'oggetto, non l'ACL. Inoltre, Amazon S3 non replica le modifiche successive all'ACL dell'oggetto di origine. Amazon S3 imposta l'ACL sulla replica che concede il controllo completo al proprietario del bucket di destinazione. 
+  Quando si aggiorna una configurazione della replica per abilitare o disabilitare la sostituzione del proprietario, si verifica quanto segue:
  + Se aggiungi l'opzione di sostituzione del proprietario alla configurazione della replica:

    Quando replica una versione dell'oggetto, Amazon S3 elimina l'ACL associata all'oggetto di origine e imposta l'ACL sulla replica concedendo il controllo completo al proprietario del bucket di destinazione. Amazon S3 non replica le modifiche successive all'ACL dell'oggetto di origine. Tuttavia, questa modifica dell'ACL non si applica alle versioni dell'oggetto che sono state replicate prima di impostare l'opzione di sostituzione proprietario. Gli aggiornamenti all'ACL negli oggetti di origine che sono stati replicati prima che fosse impostata la sostituzione del proprietario continuano a essere replicati in quanto l'oggetto e le relative repliche continuano ad avere lo stesso proprietario.
  + Se rimuovi l'opzione di sostituzione del proprietario dalla configurazione della replica:

    Amazon S3 replica i nuovi oggetti che appaiono nel bucket di origine e quelli associati ACLs ai bucket di destinazione. Per gli oggetti che sono stati replicati prima della rimozione dell'override del proprietario, Amazon S3 non esegue la replica perché ACLs la modifica della proprietà dell'oggetto apportata da Amazon S3 rimane in vigore. Cioè, ACLs la versione dell'oggetto che è stata replicata quando è stata impostata l'override del proprietario continua a non essere replicata.

## Aggiunta dell'opzione di sostituzione del proprietario alla configurazione della replica
<a name="repl-ownership-owneroverride-option"></a>

**avvertimento**  
Aggiungi l'opzione owner override solo quando i bucket di origine e di destinazione sono di proprietà di diversi. Account AWS Amazon S3 non controlla se i bucket sono di proprietà dello stesso account o di account diversi. Se aggiungi l'override del proprietario quando entrambi i bucket sono di proprietà dello stesso Account AWS, Amazon S3 applica l'override del proprietario. Questa opzione concede le autorizzazioni complete al proprietario del bucket di destinazione e non replica gli aggiornamenti successivi alle liste di controllo degli accessi degli oggetti di origine (). ACLs Il proprietario della replica può modificare direttamente l'ACL associata a una replica con una richiesta `PutObjectAcl`, ma non tramite replica.

Per specificare l'opzione di sostituzione del proprietario, aggiungi quanto segue all'elemento `Destination`: 
+ L'elemento `AccessControlTranslation`, che indica ad Amazon S3 di modificare la proprietà della replica
+ L'`Account`elemento, che specifica il proprietario del bucket di destinazione Account AWS 

```
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    ...
    <Destination>
      ...
      <AccessControlTranslation>
           <Owner>Destination</Owner>
       </AccessControlTranslation>
      <Account>destination-bucket-owner-account-id</Account>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```

La seguente configurazione della replica di esempio indica ad Amazon S3 di replicare gli oggetti con il prefisso della chiave *`Tax`* nel bucket di destinazione `amzn-s3-demo-destination-bucket` e di modificare la proprietà delle repliche. Per utilizzare questo esempio, sostituisci `user input placeholders` con le informazioni appropriate.

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <Account>destination-bucket-owner-account-id</Account>
         <AccessControlTranslation>
            <Owner>Destination</Owner>
         </AccessControlTranslation>
      </Destination>
   </Rule>
</ReplicationConfiguration>
```

## Concessione ad Amazon S3 dell'autorizzazione per modificare la proprietà della replica
<a name="repl-ownership-add-role-permission"></a>

Concedi ad Amazon S3 le autorizzazioni per modificare la proprietà della replica aggiungendo l'autorizzazione per l'`s3:ObjectOwnerOverrideToBucketOwner`azione nella politica delle autorizzazioni associata al ruolo (IAM). AWS Identity and Access Management Questo è il ruolo IAM specificato nella configurazione della replica che consente ad Amazon S3 di acquisire e replicare gli oggetti per conto dell'utente. Per utilizzare il seguente esempio, sostituire `amzn-s3-demo-destination-bucket` con il nome del bucket di destinazione.

```
...
{
    "Effect":"Allow",
         "Action":[
       "s3:ObjectOwnerOverrideToBucketOwner"
    ],
    "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...
```

## Aggiunta dell'autorizzazione alla policy del bucket di destinazione per consentire la modifica della proprietà della replica
<a name="repl-ownership-accept-ownership-b-policy"></a>

Il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine l'autorizzazione necessaria per modificare la proprietà della replica. Il proprietario del bucket di destinazione concede al proprietario del bucket di origine l'autorizzazione per l'operazione `s3:ObjectOwnerOverrideToBucketOwner`. Questa autorizzazione consente al proprietario del bucket di destinazione di accettare la proprietà delle repliche degli oggetti. La seguente istruzione della policy del bucket di esempio mostra come fare: Per utilizzare questo esempio, sostituisci `user input placeholders` con le informazioni appropriate.

```
...
{
    "Sid":"1",
    "Effect":"Allow",
    "Principal":{"AWS":"source-bucket-account-id"},
    "Action":["s3:ObjectOwnerOverrideToBucketOwner"],
    "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...
```

## Come modificare il proprietario della replica
<a name="replication-walkthrough-3"></a>

Quando i bucket di origine e di destinazione in una configurazione di replica sono di proprietà di diversi Account AWS, puoi dire ad Amazon S3 di cambiare la proprietà della replica con quella proprietaria Account AWS del bucket di destinazione. Gli esempi seguenti mostrano come utilizzare la console Amazon S3, il AWS Command Line Interface (AWS CLI) e il AWS SDKs per modificare la proprietà della replica. 

### Utilizzo della console S3
<a name="replication-ex3-console"></a>

Per step-by-step istruzioni, consulta. [Configurazione della replica per i bucket nello stesso account](replication-walkthrough1.md) Questo argomento fornisce istruzioni per impostare una configurazione di replica quando i bucket di origine e di destinazione sono di proprietà uguale e diversa. Account AWS

### Usare il AWS CLI
<a name="replication-ex3-cli"></a>

Nella seguente procedura viene mostrato come modificare la proprietà della replica utilizzando AWS CLI. In questa procedura, esegui le seguenti operazioni: 
+ Creazione dei bucket di origine e di destinazione.
+ Abilitare il controllo delle versioni sui bucket.
+ Crea un ruolo AWS Identity and Access Management (IAM) che dia ad Amazon S3 l'autorizzazione a replicare oggetti.
+ Aggiungere la configurazione della replica al bucket di origine.
+ Nella configurazione della replica si indica ad Amazon S3 di modificare la proprietà della replica.
+ Verificare la configurazione della replica.

**Per modificare la proprietà della replica quando i bucket di origine e di destinazione sono di proprietà di diversi () Account AWS AWS CLI**

Per utilizzare i AWS CLI comandi di esempio in questa procedura, sostituiscili `user input placeholders` con le tue informazioni. 

1. In questo esempio, si creano i bucket di origine e di destinazione in due diversi Account AWS. Per utilizzare questi due account, occorre configurare AWS CLI con due profili denominati. Questo esempio utilizza i profili denominati rispettivamente *`acctA`* e *`acctB`*. Per informazioni sull'impostazione di profili con credenziali e sull'uso di profili denominati, consulta [Impostazioni del file di configurazione e delle credenziali](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) nella *Guida per l'utente di AWS Command Line Interface *. 
**Importante**  
I profili utilizzati per questa procedura devono disporre delle autorizzazioni necessarie. Ad esempio, nella configurazione di replica dovrai specificare il ruolo IAM che Amazon S3 può assumere. È possibile effettuare questa operazione solo se il profilo utilizzato dispone dell'autorizzazione `iam:PassRole`. Se si utilizzano le credenziali dell'utente amministratore per creare un profilo denominato, è possibile eseguire tutte le attività in questa procedura. Per ulteriori informazioni, consulta [Concessione di autorizzazioni utente per il passaggio di un ruolo a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella *Guida per l'utente di IAM*. 

1. Creare il bucket di origine e abilitare la funzione Controllo delle versioni. Questo esempio crea un bucket denominato `amzn-s3-demo-source-bucket` nella Regione Stati Uniti orientali (Virginia settentrionale) (`us-east-1`). 

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Creare un bucket di destinazione e abilitare la funzione Controllo delle versioni. Questo esempio crea un bucket di destinazione denominato `amzn-s3-demo-destination-bucket` nella Regione Stati Uniti occidentali (Oregon) (`us-west-2`). Utilizzare un profilo Account AWS diverso da quello utilizzato per il bucket di origine.

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctB
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctB
   ```

1. Devi aggiungere l'autorizzazione alla policy del bucket di *destinazione* per consentire la modifica della proprietà della replica.

   1.  Salvare la seguente policy in un file denominato `destination-bucket-policy.json`. Assicurarsi di sostituire *`user input placeholders`* con le proprie informazioni.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "destination_bucket_policy_sid",
                  "Principal": {
                      "AWS": "source-bucket-owner-123456789012"
                  },
                  "Action": [
                      "s3:ReplicateObject",
                      "s3:ReplicateDelete",
                      "s3:ObjectOwnerOverrideToBucketOwner",
                      "s3:ReplicateTags",
                      "s3:GetObjectVersionTagging"
                  ],
                  "Effect": "Allow",
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
                  ]
              }
          ]
      }
      ```

------

   1. Aggiungere la policy precedente al bucket di destinazione utilizzando il seguente comando `put-bucket-policy`:

      ```
      aws s3api put-bucket-policy --region $ {destination-region} --bucket $ {amzn-s3-demo-destination-bucket} --policy file://destination_bucket_policy.json
      ```

1. Creare un ruolo IAM. Specifica questo ruolo nella configurazione di replica che aggiungi al bucket *source* in un secondo momento. Amazon S3 assume questo ruolo per replicare gli oggetti per tuo conto. Il ruolo IAM si crea in due fasi:
   + Crea il ruolo.
   + Collegare una policy di autorizzazione al ruolo.

   1. Crea il ruolo IAM.

      1. Copiare la seguente policy di attendibilità e salvarla in un file denominato `s3-role-trust-policy.json` nella directory corrente sul computer locale. Questa policy concede ad Amazon S3 le autorizzazioni per assumere il ruolo.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Esegui il AWS CLI `create-role` comando seguente per creare il ruolo IAM:

         ```
         $ aws iam create-role \
         --role-name replicationRole \
         --assume-role-policy-document file://s3-role-trust-policy.json  \
         --profile acctA
         ```

         Prendere nota del nome della risorsa Amazon (ARN) del ruolo IAM creato. Tale nome sarà necessario in un passaggio successivo.

   1. Collegare una policy di autorizzazione al ruolo.

      1. Copiare la seguente policy di autorizzazioni e salvarla in un file denominato `s3-role-perm-pol-changeowner.json` nella directory corrente sul computer locale. Questa policy di accesso concede le autorizzazioni per varie operazioni su oggetti e bucket Amazon S3. Nelle fasi che seguono si associa questa policy al ruolo IAM creato in precedenza. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ObjectOwnerOverrideToBucketOwner",
                     "s3:ReplicateTags",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               }
            ]
         }
         ```

------

      1. Per associare la policy delle autorizzazioni precedente al ruolo, eseguire il seguente comando `put-role-policy`:

         ```
         $ aws iam put-role-policy \
         --role-name replicationRole \
         --policy-document file://s3-role-perm-pol-changeowner.json \
         --policy-name replicationRolechangeownerPolicy \
         --profile acctA
         ```

1. Aggiungere una configurazione di replica al bucket di origine.

   1. È AWS CLI necessario specificare la configurazione di replica come JSON. Salvare il seguente JSON in un file denominato `replication.json` nella directory corrente sul computer locale. Nella configurazione, `AccessControlTranslation` specifica la modifica della proprietà della replica dal proprietario del bucket di origine al proprietario del bucket di destinazione. 

      ```
      {
         "Role":"IAM-role-ARN",
         "Rules":[
            {
               "Status":"Enabled",
               "Priority":1,
               "DeleteMarkerReplication":{
                  "Status":"Disabled"
               },
               "Filter":{
               },
               "Status":"Enabled",
               "Destination":{
                  "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
                  "Account":"destination-bucket-owner-account-id",
                  "AccessControlTranslation":{
                     "Owner":"Destination"
                  }
               }
            }
         ]
      }
      ```

   1. Modificare il JSON fornendo i valori per il nome del bucket di destinazione, l'ID account del proprietario del bucket di destinazione e `IAM-role-ARN`. Sostituisci *`IAM-role-ARN`* con l'ARN del ruolo IAM creato in precedenza. Salvare le modifiche.

   1. Per aggiungere la configurazione della replica al bucket di origine, eseguire il seguente comando:

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

1. Verificare la configurazione della replica controllando la proprietà della replica nella console Amazon S3.

   1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   1. Aggiungere oggetti al bucket *di origine* . Verifica che il bucket di destinazione contenga le repliche degli oggetti e che la proprietà delle repliche sia passata a Account AWS quella proprietaria del bucket di destinazione.

### Usando il AWS SDKs
<a name="replication-ex3-sdk"></a>

 Per un esempio di codice per l'aggiunta di una configurazione della replica, consulta [Utilizzando il AWS SDKs](replication-walkthrough1.md#replication-ex1-sdk). La configurazione della replica deve essere modificata di conseguenza. Per informazioni concettuali, consulta [Modifica del proprietario della replica](#replication-change-owner). 

# Soddisfazione dei requisiti di conformità con il controllo del tempo di replica di Amazon S3
<a name="replication-time-control"></a>

Amazon S3 Replication Time Control (S3 RTC) permette di soddisfare i requisiti aziendali o di conformità per la replica dei dati fornendo visibilità sui tempi di replica di Amazon S3. S3 RTC replica la maggior parte degli oggetti caricati in Amazon S3 in pochi secondi e il 99,9% di tali oggetti entro 15 minuti. 

Per impostazione predefinita, S3 RTC include due modi per monitorare l'avanzamento della replica: 
+ **Parametri di Replica Amazon S3**: con i parametri di replica S3, è possibile monitorare il numero totale di operazioni API S3 in attesa di replica, la dimensione totale degli oggetti in attesa di replica, il tempo massimo di replica nella Regione di destinazione e il numero totale delle operazioni che non sono state replicate. Quindi puoi monitorare separatamente ogni set di dati replicato. È inoltre possibile abilitare i parametri di Replica Amazon S3 indipendentemente da S3 RTC. Per ulteriori informazioni, consulta [Utilizzo dei parametri di Replica S3](repl-metrics.md).

  Le regole di replica per le quali è abilitato il controllo del tempo di replica di S3 (S3 RTC) pubblicano i parametri di Replica Amazon S3. I parametri di replica sono disponibili entro 15 minuti dall'attivazione di S3 RTC. I parametri di replica sono disponibili tramite la console Amazon S3, l'API Amazon S3, AWS SDKs the AWS Command Line Interface ()AWS CLI e Amazon. CloudWatch Per ulteriori informazioni sulle CloudWatch metriche, consulta. [Monitoraggio delle metriche con Amazon CloudWatch](cloudwatch-monitoring.md) Per ulteriori informazioni sulla visualizzazione dei parametri di replica tramite la console Amazon S3, consulta [Visualizzazione dei parametri di replica](repl-metrics.md#viewing-replication-metrics).

  I parametri di replica S3 vengono fatturati alla stessa tariffa dei parametri personalizzati di Amazon. CloudWatch Per informazioni, consulta i [ CloudWatchprezzi di Amazon](https://aws.amazon.com/cloudwatch/pricing/). 
+ **Notifiche di eventi Amazon S3**: S3 RTC fornisce gli eventi `OperationMissedThreshold` e `OperationReplicatedAfterThreshold` che notificano al proprietario del bucket se la replica dell'oggetto supera la soglia dei 15 minuti o si verifica dopo tale intervallo di tempo. Con S3 RTC, è possibile che Notifiche di eventi Amazon S3 invii una notifica nel caso raro in cui gli oggetti non vengano replicati entro 15 minuti e quando tali oggetti vengono replicati una volta superata la soglia di 15 minuti. 

  Gli eventi di replica sono disponibili entro 15 minuti dall'abilitazione di S3 RTC. Le notifiche degli eventi di Amazon S3 sono disponibili tramite Amazon SQS, Amazon SNS o. AWS Lambda Per ulteriori informazioni, consulta [Ricezione di eventi di errore di replica con notifiche di eventi Amazon S3](replication-metrics-events.md).

 

## Best practice e linee guida per S3 RTC
<a name="rtc-best-practices"></a>

Per la replica dei dati in Amazon S3 con controllo del tempo di replica di S3 (S3 RTC) abilitato, attenersi alle seguenti linee guida di best practice per ottimizzare le prestazioni di replica dei carichi di lavoro. 

**Topics**
+ [

### Linee guida sulle prestazioni per la frequenza di richieste e la replica di Amazon S3
](#rtc-request-rate-performance)
+ [

### Stima delle frequenze di richieste di replica
](#estimating-replication-request-rates)
+ [

### Superamento delle quote di velocità di trasferimento dati di S3 RTC
](#exceed-rtc-data-transfer-limits)
+ [

### AWS KMS tassi di richiesta di replica di oggetti crittografati
](#kms-object-replication-request-rates)

### Linee guida sulle prestazioni per la frequenza di richieste e la replica di Amazon S3
<a name="rtc-request-rate-performance"></a>

Le applicazioni possono raggiungere migliaia di transazioni al secondo nelle prestazioni di richiesta durante il caricamento e il recupero di storage da Amazon S3. Ad esempio, un'applicazione può raggiungere almeno 3.500 richieste `PUT`/`COPY`/`POST`/`DELETE` o 5.500 richieste `GET`/`HEAD` al secondo per prefisso in un bucket S3, incluse le richieste che Replica Amazon S3 effettua per conto dell'utente. Non esistono limiti al numero di prefissi in un bucket. È possibile aumentare le proprie performance in lettura o scrittura parallelizzando le scritture. Ad esempio, se si creano 10 prefissi in un bucket S3 per parallelizzare le letture, è possibile scalare le prestazioni di lettura a 55.000 richieste di lettura al secondo. 

Amazon S3 riduce orizzontalmente le risorse in modo automatico in risposta a frequenze di richieste sostenute oltre queste linee guida o a frequenze di richieste sostenute in contemporanea a richieste `LIST`. Mentre Amazon S3 si ottimizza internamente per la nuova frequenza di richieste, potresti ricevere temporaneamente risposte HTTP 503 fino al completamento dell'ottimizzazione. Questo comportamento potrebbe verificarsi con gli aumenti delle frequenze di richiesta al secondo o quando si abilita per la prima volta S3 RTC. Durante questi periodi, la latenza di replica potrebbe aumentare. Il contratto sul livello di servizio (SLA) di S3 RTC non si applica ai periodi di tempo in cui vengono superate le linee guida sulle prestazioni di Amazon S3 per le richieste al secondo. 

Lo SLA di S3 RTC non si applica neanche ai periodi di tempo in cui la velocità di trasferimento dati di replica supera il limite predefinito di 1 Gbps. Se si prevede che la velocità di trasferimento della replica superi 1 Gbps, è possibile contattare il [Centro Supporto AWS](https://console.aws.amazon.com/support/home#/) o utilizzare [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) per richiedere un aumento della quota della velocità di trasferimento della replica. 

### Stima delle frequenze di richieste di replica
<a name="estimating-replication-request-rates"></a>

La frequenza di richieste totale, incluse le richieste effettuate da Replica Amazon S3 per conto dell'utente, deve rientrare nelle linee guida sulla frequenza di richieste di Amazon S3 per i bucket di origine e di destinazione della replica. Per ogni oggetto replicato, Replica Amazon S3 esegue fino a cinque richieste `GET`/`HEAD` e una richiesta `PUT` al bucket di origine e una richiesta `PUT` a ciascun bucket di destinazione.

Ad esempio, se si prevede di replicare 100 oggetti al secondo, Replica Amazon S3 può eseguire 100 richieste `PUT` aggiuntive per conto dell'utente per un totale di 200 richieste `PUT` al secondo nel bucket S3 di origine. Replica Amazon S3 può anche eseguire fino a 500 richieste `GET`/`HEAD` (5 richieste `GET`/`HEAD` per ogni oggetto replicato). 

**Nota**  
Vengono addebitati i costi per una sola richiesta `PUT` per oggetto replicato. Per ulteriori informazioni, consulta le informazioni sui prezzi di [Amazon S3 FAQs sulla](https://aws.amazon.com/s3/faqs/#Replication) replica. 

### Superamento delle quote di velocità di trasferimento dati di S3 RTC
<a name="exceed-rtc-data-transfer-limits"></a>

Se si prevede che la velocità di trasferimento dati di S3 RTC superi la quota predefinita di 1 Gbps, contattare il [Centro Supporto AWS](https://console.aws.amazon.com/support/home#/) o utilizzare [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) per richiedere un aumento della quota. 

### AWS KMS tassi di richiesta di replica di oggetti crittografati
<a name="kms-object-replication-request-rates"></a>

Quando si replicano oggetti crittografati con la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), vengono applicate le quote di richieste al secondo. AWS KMS AWS KMS potrebbe rifiutare una richiesta altrimenti valida perché la frequenza delle richieste supera la quota per il numero di richieste al secondo. Quando una richiesta viene limitata, AWS KMS restituisce un errore. `ThrottlingException` La quota della tariffa di AWS KMS richiesta si applica alle richieste effettuate direttamente e alle richieste effettuate dalla replica di Amazon S3 per tuo conto. 

Ad esempio, se prevedi di replicare 1.000 oggetti al secondo, puoi sottrarre 2.000 richieste dalla quota di frequenza delle richieste. AWS KMS La frequenza di richieste al secondo risultante è disponibile per i AWS KMS carichi di lavoro, esclusa la replica. Puoi utilizzare i [parametri di AWS KMS richiesta in Amazon CloudWatch](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html) per monitorare il tasso totale di AWS KMS richieste sul tuo Account AWS.

Per richiedere un aumento delle tue AWS KMS richieste di quote al secondo, contatta [Supporto AWS Center](https://console.aws.amazon.com/support/home#/) o utilizza [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html). 

## Abilitazione di S3 Replication Time Control
<a name="replication-walkthrough-5"></a>

Puoi iniziare a utilizzare S3 Replication Time Control (S3 RTC) con una regola di replica nuova o esistente. È possibile scegliere di applicare la regola di replica a un intero bucket o a oggetti con un prefisso o un tag specifico. Quando si attiva S3 RTC, i parametri di Replica S3 vengono abilitati anche nella regola di replica. 

Puoi configurare S3 RTC utilizzando la console Amazon S3, l'API Amazon S3, e AWS SDKs il (). AWS Command Line Interface AWS CLI

**Topics**

### Utilizzo della console S3
<a name="replication-ex5-console"></a>

Per step-by-step istruzioni, consulta. [Configurazione della replica per i bucket nello stesso account](replication-walkthrough1.md) Questo argomento fornisce istruzioni per abilitare S3 RTC nella configurazione di replica quando i bucket di origine e di destinazione sono di proprietà uguale o diversa. Account AWS

### Utilizzo del AWS CLI
<a name="replication-ex5-cli"></a>

Per utilizzare la AWS CLI replica di oggetti con S3 RTC abilitato, devi creare bucket, abilitare il controllo delle versioni sui bucket, creare un ruolo IAM che autorizzi Amazon S3 a replicare oggetti e aggiungere la configurazione di replica al bucket di origine. La configurazione della replica deve avere S3 RTC abilitato, come mostrato nel seguente esempio. 

Per step-by-step istruzioni su come configurare la configurazione di replica utilizzando il, consulta. AWS CLI[Configurazione della replica per i bucket nello stesso account](replication-walkthrough1.md)

Il seguente esempio di configurazione della replica abilita e imposta i valori `ReplicationTime` e `EventThreshold` per una regola di replica. L'attivazione e l'impostazione di questi valori abilita S3 RTC sulla regola.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "DeleteMarkerReplication": {
                "Status": "Disabled"
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "Metrics": {
                    "Status": "Enabled",
                    "EventThreshold": {
                        "Minutes": 15
                    }
                },
                "ReplicationTime": {
                    "Status": "Enabled",
                    "Time": {
                        "Minutes": 15
                    }
                }
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

**Importante**  
 `Metrics:EventThreshold:Minutes` e `ReplicationTime:Time:Minutes` possono avere solo `15` come valore valido. 

### Utilizzo dell' AWS SDK for Java
<a name="replication-ex5-sdk"></a>

 Di seguito è riportato un esempio Java per aggiungere la configurazione della replica con controllo del tempo di replica di S3 (S3 RTC).

```
import software.amazon.awssdk.auth.credentials.AwsBasicCredentials;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3.model.DeleteMarkerReplication;
import software.amazon.awssdk.services.s3.model.Destination;
import software.amazon.awssdk.services.s3.model.Metrics;
import software.amazon.awssdk.services.s3.model.MetricsStatus;
import software.amazon.awssdk.services.s3.model.PutBucketReplicationRequest;
import software.amazon.awssdk.services.s3.model.ReplicationConfiguration;
import software.amazon.awssdk.services.s3.model.ReplicationRule;
import software.amazon.awssdk.services.s3.model.ReplicationRuleFilter;
import software.amazon.awssdk.services.s3.model.ReplicationTime;
import software.amazon.awssdk.services.s3.model.ReplicationTimeStatus;
import software.amazon.awssdk.services.s3.model.ReplicationTimeValue;

public class Main {

  public static void main(String[] args) {
    S3Client s3 = S3Client.builder()
      .region(Region.US_EAST_1)
      .credentialsProvider(() -> AwsBasicCredentials.create(
          "AWS_ACCESS_KEY_ID",
          "AWS_SECRET_ACCESS_KEY")
      )
      .build();

    ReplicationConfiguration replicationConfig = ReplicationConfiguration
      .builder()
      .rules(
          ReplicationRule
            .builder()
            .status("Enabled")
            .priority(1)
            .deleteMarkerReplication(
                DeleteMarkerReplication
                    .builder()
                    .status("Disabled")
                    .build()
            )
            .destination(
                Destination
                    .builder()
                    .bucket("destination_bucket_arn")
                    .replicationTime(
                        ReplicationTime.builder().time(
                            ReplicationTimeValue.builder().minutes(15).build()
                        ).status(
                            ReplicationTimeStatus.ENABLED
                        ).build()
                    )
                    .metrics(
                        Metrics.builder().eventThreshold(
                            ReplicationTimeValue.builder().minutes(15).build()
                        ).status(
                            MetricsStatus.ENABLED
                        ).build()
                    )
                    .build()
            )
            .filter(
                ReplicationRuleFilter
                    .builder()
                    .prefix("testtest")
                    .build()
            )
        .build())
        .role("role_arn")
        .build();

    // Put replication configuration
    PutBucketReplicationRequest putBucketReplicationRequest = PutBucketReplicationRequest
      .builder()
      .bucket("source_bucket")
      .replicationConfiguration(replicationConfig)
      .build();

    s3.putBucketReplication(putBucketReplicationRequest);
  }
}
```

# Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)
<a name="replication-config-for-kms-objects"></a>

**Importante**  
Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva nella e. AWS CLI AWS SDKs Per ulteriori informazioni, consulta [Domande frequenti sulla crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Quando si replicano oggetti che sono stati crittografati utilizzando la crittografia lato server, è necessario prestare particolare attenzione. Amazon S3 supporta i seguenti tipi di crittografia lato server:
+ Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)
+ Crittografia lato server con () chiavi (SSE-KMS) AWS Key Management Service AWS KMS
+ Crittografia lato server a doppio livello con chiavi (DSSE-KMS) AWS KMS 
+ Crittografia lato server con chiavi fornite dal cliente (SSE-C)

Per ulteriori informazioni sulla crittografia lato server, consulta [Protezione dei dati con la crittografia lato server](serv-side-encryption.md).

Questo argomento spiega le autorizzazioni necessarie per indirizzare Amazon S3 a replicare oggetti che sono stati crittografati utilizzando la crittografia lato server. Questo argomento fornisce anche elementi di configurazione aggiuntivi che è possibile aggiungere ed esempi di policy AWS Identity and Access Management (IAM) che concedono le autorizzazioni necessarie per la replica di oggetti crittografati. 

Per un esempio con step-by-step istruzioni, vedere. [Abilitazione della replica per oggetti crittografati](#replication-walkthrough-4) Per informazioni sulla creazione di una configurazione di replica, consulta [Replica di oggetti all'interno e tra le Regioni](replication.md). 

**Nota**  
Puoi usare più regioni AWS KMS keys in Amazon S3. Tuttavia, Amazon S3 attualmente tratta le chiavi multiregionali come se fossero chiavi monoregionali e non utilizza le caratteristiche multiregionali della chiave. Per ulteriori informazioni, consulta [Utilizzo delle chiavi multiregione](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

**Topics**
+ [

## In che modo la crittografia predefinita del bucket influisce sulla replica
](#replication-default-encryption)
+ [

## Replica di oggetti crittografati con SSE-C
](#replicationSSEC)
+ [

## Replica di oggetti crittografati con SSE-S3, SSE-KMS o DSSE-KMS
](#replications)
+ [

## Abilitazione della replica per oggetti crittografati
](#replication-walkthrough-4)

## In che modo la crittografia predefinita del bucket influisce sulla replica
<a name="replication-default-encryption"></a>

Una volta abilitata la crittografia predefinita per un bucket di destinazione della replica, si applica il seguente comportamento di crittografia:
+ Se gli oggetti nel bucket di origine non sono crittografati, gli oggetti replicati nel bucket di destinazione vengono crittografati in base alle impostazioni di crittografia predefinita del bucket di destinazione. Di conseguenza, i tag di entità (ETags) degli oggetti di origine differiscono da quelli degli oggetti ETags di replica. Se disponi di applicazioni che utilizzano ETags, devi aggiornarle per tenere conto di questa differenza.
+ Se gli oggetti nel bucket di origine sono crittografati utilizzando la crittografia lato server con chiavi gestite Amazon S3 (SSE-S3), la crittografia lato server con chiavi () (SSE-KMS AWS KMS) o la crittografia lato server a doppio livello con AWS Key Management Service AWS KMS chiavi (DSSE-KMS), gli oggetti di replica nel bucket di destinazione utilizzano lo stesso tipo di crittografia degli oggetti di origine. Le impostazioni della crittografia predefinita del bucket di destinazione non vengono utilizzate.

## Replica di oggetti crittografati con SSE-C
<a name="replicationSSEC"></a>

Utilizzando la crittografia lato server con le chiavi fornite dal cliente (SSE-C), è possibile gestire le chiavi di crittografia di proprietà. Con SSE-C, puoi gestire le chiavi mentre Amazon S3 si occupa del processo di crittografia e decrittografia. È necessario fornire una chiave di crittografia come parte della richiesta, ma non è necessario scrivere codice per eseguire la crittografia o la decrittografia degli oggetti. Quando carichi un oggetto, Amazon S3 ne esegue la crittografia utilizzando la chiave che hai specificato. Quindi Amazon S3 elimina la chiave dalla memoria. Quando viene recuperato un oggetto, è necessario fornire la stessa chiave di crittografia come parte della richiesta. Per ulteriori informazioni, consulta [Utilizzo della crittografia lato server con chiavi fornite dal cliente (SSE-C)](ServerSideEncryptionCustomerKeys.md).

S3 Replication supporta oggetti crittografati con SSE-C. Puoi configurare la replica di oggetti SSE-C nella console Amazon S3 o con la stessa modalità con cui configuri la AWS SDKs replica per oggetti non crittografati. Non sono disponibili autorizzazioni SSE-C aggiuntive oltre a quelle attualmente richieste per la replica. 

La replica S3 replica automaticamente gli oggetti crittografati con SSE-C appena caricati, se idonei, secondo la configurazione di replica S3 specificata. Per la replica di oggetti esistenti nei bucket, utilizza la replica in batch in S3. Per ulteriori informazioni sulla replica di oggetti, consulta [Panoramica della configurazione della replica in tempo reale](replication-how-setup.md) e [Replica di oggetti esistenti con Replica in batch](s3-batch-replication-batch.md).

Non sono previsti costi aggiuntivi per la replica di oggetti SSE-C. Per informazioni dettagliate sui prezzi della replica, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/). 

## Replica di oggetti crittografati con SSE-S3, SSE-KMS o DSSE-KMS
<a name="replications"></a>

Per impostazione predefinita, Amazon S3 non replica gli oggetti crittografati con SSE-KMS o DSSE-KMS. Questa sezione illustra un'ulteriore configurazione che puoi aggiungere per fare in modo che Amazon S3 replichi questi oggetti. 

Per un esempio con istruzioni, consulta. step-by-step [Abilitazione della replica per oggetti crittografati](#replication-walkthrough-4) Per informazioni sulla creazione di una configurazione di replica, consulta [Replica di oggetti all'interno e tra le Regioni](replication.md). 

### Specifica di informazioni aggiuntive nella configurazione di replica
<a name="replication-kms-extra-config"></a>

Nella configurazione di replica, è necessario eseguire queste operazioni:
+ Nell'`Destination`elemento della configurazione di replica, aggiungi l'ID della chiave simmetrica gestita dal AWS KMS cliente che desideri che Amazon S3 utilizzi per crittografare le repliche degli oggetti, come mostrato nel seguente esempio di configurazione di replica. 
+ Specifica esplicitamente la funzione abilitando la replica di oggetti crittografati mediante le chiavi KMS (SSE-KMS o DSSE-KMS). Per attivare, aggiungi l'elemento `SourceSelectionCriteria`, come mostrato nel seguente esempio di configurazione della replica.

 

```
<ReplicationConfiguration>
   <Rule>
      ...
      <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
           <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
      </SourceSelectionCriteria>

      <Destination>
          ...
          <EncryptionConfiguration>
             <ReplicaKmsKeyID>AWS KMS key ARN or Key Alias ARN that's in the same Regione AWS as the destination bucket.</ReplicaKmsKeyID>
          </EncryptionConfiguration>
       </Destination>
      ...
   </Rule>
</ReplicationConfiguration>
```

**Importante**  
La chiave KMS deve essere stata creata nello stesso bucket di destinazione. Regione AWS 
Chiave KMS *deve* essere valida. L'operazione `PutBucketReplication` dell'API non controlla la validità delle chiavi KMS. Se utilizzi una chiave KMS non valida, viene restituito il codice di stato HTTP `200 OK` in risposta, ma la replica non riesce.

Nell'esempio seguente viene illustrata una configurazione di replica che include gli elementi di configurazione opzionali. Questa configurazione di replica ha una regola. La regola si applica agli oggetti con il prefisso della chiave `Tax`. Amazon S3 utilizza l' AWS KMS key ID specificato per crittografare queste repliche di oggetti.

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration>
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <EncryptionConfiguration>
            <ReplicaKmsKeyID>AWS KMS key ARN or Key Alias ARN that's in the same Regione AWS as the destination bucket.</ReplicaKmsKeyID>
         </EncryptionConfiguration>
      </Destination>
      <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
            <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
      </SourceSelectionCriteria>
   </Rule>
</ReplicationConfiguration>
```

### Concessione di autorizzazioni aggiuntive per il ruolo IAM
<a name="replication-kms-permissions"></a>

Per replicare oggetti crittografati a riposo utilizzando SSE-S3, SSE-KMS o DSSE-KMS, concedi le seguenti autorizzazioni aggiuntive al ruolo (IAM) specificato nella configurazione di replica. AWS Identity and Access Management Queste autorizzazioni vengono concesse aggiornando la policy di autorizzazione associata al ruolo IAM. 
+ **Operazione `s3:GetObjectVersionForReplication` per gli oggetti di origine**: consente ad Amazon S3 di replicare gli oggetti non crittografati e gli oggetti creati con la crittografia lato server mediante le chiavi SSE-S3, SSE-KMS o DSSE-KMS.
**Nota**  
Ti consigliamo di utilizzare l'operazione `s3:GetObjectVersionForReplication` anziché l'operazione `s3:GetObjectVersion` in quanto `s3:GetObjectVersionForReplication` concede ad Amazon S3 solo le autorizzazioni minime necessarie per la replica. Inoltre, l'operazione `s3:GetObjectVersion` permette la replica di oggetti non crittografati e crittografati SSE-S3, ma non di oggetti crittografati utilizzando le chiavi KMS (SSE-KMS o DSSE-KMS). 
+ **`kms:Decrypt``kms:Encrypt` AWS KMS e azioni per le chiavi KMS**
  + È necessario concedere le autorizzazioni `kms:Decrypt` per la AWS KMS key utilizzata per decrittografare l'oggetto di origine.
  + È necessario concedere le autorizzazioni `kms:Encrypt` per la AWS KMS key utilizzata per crittografare la replica dell'oggetto.
+ **Operazione `kms:GenerateDataKey` per la replica di oggetti in testo normale**: se stai replicando oggetti di testo normale in un bucket con la crittografia SSE-KMS o DSSE-KMS abilitata per impostazione predefinita, devi includere l'autorizzazione `kms:GenerateDataKey` per il contesto di crittografia di destinazione e la chiave KMS nella policy IAM.

**Importante**  
Se utilizzi S3 Batch Replication per replicare set di dati su più regioni e in precedenza il tipo di crittografia lato server degli oggetti era stato aggiornato da SSE-S3 a SSE-KMS, potresti aver bisogno di autorizzazioni aggiuntive. Nel bucket `kms:decrypt` della regione di origine, devi disporre delle autorizzazioni. Quindi, avrai bisogno delle `kms:encrypt` autorizzazioni `kms:decrypt` e per il bucket nella regione di destinazione. 

Ti consigliamo di limitare queste autorizzazioni solo ai bucket e agli oggetti di destinazione utilizzando le chiavi di condizione. AWS KMS Il Account AWS titolare del ruolo IAM deve disporre delle `kms:Decrypt` autorizzazioni `kms:Encrypt` e delle azioni per le chiavi KMS elencate nella policy. Se le chiavi KMS sono di proprietà di un altro Account AWS, il proprietario delle chiavi KMS deve concedere queste autorizzazioni al proprietario del Account AWS ruolo IAM. *Per ulteriori informazioni sulla gestione dell'accesso a queste chiavi KMS, consulta [Using IAM policies with AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) nella Developer Guide. AWS Key Management Service *

### Chiavi bucket S3 e replica
<a name="bk-replication"></a>

Per utilizzare la replica con una chiave S3 Bucket, la AWS KMS key policy per la chiave KMS utilizzata per crittografare la replica dell'oggetto deve includere l'autorizzazione per il principale chiamante. `kms:Decrypt` La chiamata a `kms:Decrypt` verifica l'integrità della chiave bucket S3 prima del suo utilizzo. Per ulteriori informazioni, consulta [Utilizzo di una chiave bucket S3 con la replica](bucket-key.md#bucket-key-replication).

Quando una chiave del bucket S3 è abilitata per il bucket di origine o di destinazione, il contesto di crittografia sarà il nome della risorsa Amazon (ARN) del bucket e non l'ARN dell'oggetto, ad esempio `arn:aws:s3:::bucket_ARN`. Dovrai aggiornare le policy IAM per utilizzare l'ARN del bucket per il contesto di crittografia:

```
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::bucket_ARN"
]
```

Per ulteriori informazioni, consulta [Contesto di crittografia (`x-amz-server-side-encryption-context`)](specifying-kms-encryption.md#s3-kms-encryption-context) (nella sezione relativa a REST API) e [Modifiche alla nota prima dell'abilitazione di una chiave bucket S3](bucket-key.md#bucket-key-changes).

### Policy di esempio: utilizzo di SSE-S3 e SSE-KMS con la replica
<a name="kms-replication-examples"></a>

Le policy IAM di esempio riportate di seguito mostrano le istruzioni per utilizzare SSE-S3 e SSE-KMS con la replica.

**Example - Utilizzo di SSE-KMS con bucket di destinazione separati**  
La seguente policy di esempio mostra le istruzioni per utilizzare SSE-KMS con bucket di destinazione separati. 

**Example - Replica di oggetti creati con SSE-S3 e SSE-KMS**  
Di seguito è riportata una policy IAM completa che concede le autorizzazioni necessarie per la replica di oggetti non crittografati, oggetti creati con SSE-S3 e oggetti creati con SSE-KMS.    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/key-prefix1*"
      },
      {
         "Action":[
            "kms:Decrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
               ]
            }
         },
         "Resource":[
           "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      },
      {
         "Action":[
            "kms:Encrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-destination-bucket/prefix1*"
               ]
            }
         },
         "Resource":[
            "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      }
   ]
}
```

**Example -  Replica oggetti con chiavi bucket S3**  
Di seguito è riportata una policy IAM completa che concede le autorizzazioni necessarie per la replica degli oggetti con chiavi bucket S3.    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/key-prefix1*"
      },
      {
         "Action":[
            "kms:Decrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-source-bucket"
               ]
            }
         },
         "Resource":[
           "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      },
      {
         "Action":[
            "kms:Encrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-destination-bucket"
               ]
            }
         },
         "Resource":[
            "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      }
   ]
}
```

### Concessione di autorizzazioni aggiuntive per scenari multi-account
<a name="replication-kms-cross-acct-scenario"></a>

In uno scenario con più account, in cui i bucket di origine e di destinazione sono di proprietà di diversi Account AWS, puoi utilizzare una chiave KMS per crittografare le repliche degli oggetti. Tuttavia, il proprietario della chiave KMS deve concedere al proprietario del bucket di origine l'autorizzazione per utilizzare la chiave KMS. 

**Nota**  
[Se è necessario replicare i dati SSE-KMS su più account, la regola di replica deve specificare una chiave gestita dal cliente per l'account di destinazione.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS [Chiavi gestite da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)non consentono l'utilizzo tra account e pertanto non possono essere utilizzati per eseguire la replica tra account.<a name="cross-acct-kms-key-permission"></a>

**Per concedere al proprietario del bucket di origine l'autorizzazione per l'utilizzo della chiave KMS (console AWS KMS )**

1. [Accedi a Console di gestione AWS e apri la AWS KMS console su /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Per visualizzare le chiavi nell'account creato e gestito dall'utente, nel riquadro di navigazione, seleziona **Chiavi gestite dal cliente**.

1. Scegli la chiave KMS.

1. In **Configurazione generale**, seleziona la scheda **Policy delle chiavi**.

1. **Scorri verso il basso fino a Altro. Account AWS**

1. Scegli **Aggiungi altro Account AWS**. 

   Viene visualizzata la finestra di dialogo **Altri Account AWS**. 

1. Nella finestra di dialogo, scegli **Aggiungi un altro Account AWS**. Per **arn:aws:iam::**, inserisci l'ID account del bucket di origine.

1. Scegli **Save changes** (Salva modifiche).

**Per concedere al proprietario del bucket di origine l'autorizzazione per l'utilizzo della chiave KMS (AWS CLI)**
+ Per informazioni sul comando `put-key-policy` AWS Command Line Interface (AWS CLI), vedete [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)nella Guida ai * AWS CLI comandi*. Per ulteriori informazioni sull’operazione API `PutKeyPolicy` sottostante, consulta [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) nella [Guida di riferimento delle API di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/APIReference/).

### AWS KMS considerazioni sulle quote di transazione
<a name="crr-kms-considerations"></a>

Quando si aggiungono molti nuovi oggetti con AWS KMS crittografia dopo aver abilitato la replica tra regioni (CRR), è possibile che si verifichi una limitazione (errori HTTP). `503 Service Unavailable` La limitazione (della larghezza di banda della rete) si verifica quando il numero di transazioni AWS KMS al secondo supera la quota corrente. Per ulteriori informazioni, consulta [Quote](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

Per richiedere un aumento della quota, è possibile utilizzare Service Quotas. Per ulteriori informazioni, consulta la sezione [Richiesta di un aumento di quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html). Se Service Quotas non è supportato nella tua regione, [apri una Supporto AWS](https://console.aws.amazon.com/support/home#/) richiesta. 

## Abilitazione della replica per oggetti crittografati
<a name="replication-walkthrough-4"></a>

Per impostazione predefinita, Amazon S3 non replica oggetti crittografati utilizzando la crittografia lato server con AWS Key Management Service () chiavi (SSE-KMS AWS KMS) o la crittografia lato server a due livelli con chiavi (DSSE-KMS). AWS KMS Per replicare gli oggetti crittografati con SSE-KMS o DSS-KMS, devi modificare la configurazione di replica del bucket per indicare ad Amazon S3 di replicare questi oggetti. Questo esempio spiega come utilizzare la console Amazon S3 e AWS Command Line Interface (AWS CLI) per modificare la configurazione della replica dei bucket per consentire la replica di oggetti crittografati.

**Nota**  
Quando una chiave del bucket S3 è abilitata per il bucket di origine o di destinazione, il contesto di crittografia sarà il nome della risorsa Amazon (ARN) del bucket e non l'ARN dell'oggetto. Dovrai aggiornare le policy IAM per utilizzare l'ARN del bucket per il contesto di crittografia. Per ulteriori informazioni, consulta [Chiavi bucket S3 e replica](#bk-replication).

**Nota**  
Puoi usare più regioni AWS KMS keys in Amazon S3. Tuttavia, Amazon S3 attualmente tratta le chiavi multiregionali come se fossero chiavi monoregionali e non utilizza le caratteristiche multiregionali della chiave. Per ulteriori informazioni, consulta [Utilizzo delle chiavi multiregione](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

### Utilizzo della console S3
<a name="replication-ex4-console"></a>

Per step-by-step istruzioni, consulta. [Configurazione della replica per i bucket nello stesso account](replication-walkthrough1.md) Questo argomento fornisce istruzioni per impostare una configurazione di replica quando i bucket di origine e di destinazione sono di proprietà uguale e diversa. Account AWS

### Usare il AWS CLI
<a name="replication-ex4-cli"></a>

Per replicare oggetti crittografati con AWS CLI, effettuate le seguenti operazioni: 
+ Crea i bucket di origine e di destinazione e abilita il controllo delle versioni per questi bucket. 
+ Crea un ruolo di servizio AWS Identity and Access Management (IAM) che dia ad Amazon S3 l'autorizzazione a replicare oggetti. Le autorizzazioni del ruolo IAM includono le autorizzazioni necessarie per replicare gli oggetti crittografati.
+ Aggiungi una configurazione di replica al bucket di origine. La configurazione di replica fornisce informazioni relative alla replica di oggetti crittografati con le chiavi KMS.
+ Aggiungi gli oggetti crittografati al bucket di origine. 
+ Esegui il test della configurazione per verificare che gli oggetti crittografati vengano replicati nel bucket di destinazione.

Le procedure seguenti ti guidano attraverso questo processo. 

**Per replicare gli oggetti crittografati lato server (AWS CLI)**

Per utilizzare gli esempi in questa procedura, sostituire `user input placeholders` con le proprie informazioni.

1. In questo esempio vengono creati entrambi i bucket di origine (*`amzn-s3-demo-source-bucket`*) e di destinazione (*`amzn-s3-demo-destination-bucket`*) nello stesso Account AWS. Imposti anche un profilo di credenziali per la AWS CLI. In questo esempio si utilizza il nome del profilo `acctA`. 

   Per informazioni sull'impostazione di profili con credenziali e sull'uso di profili denominati, consulta [Impostazioni del file di configurazione e delle credenziali](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) nella *Guida per l'utente di AWS Command Line Interface *. 

1. Usa i seguenti comandi per creare il bucket `amzn-s3-demo-source-bucket` e abilitare il controllo delle versioni. Il seguente comando di esempio crea il bucket `amzn-s3-demo-source-bucket` nella Regione Stati Uniti orientali (Virginia settentrionale) (`us-east-1`).

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Usa i seguenti comandi per creare il bucket `amzn-s3-demo-destination-bucket` e abilitare il controllo delle versioni. Il seguente comando di esempio crea il bucket `amzn-s3-demo-destination-bucket` nella Regione Stati Uniti occidentali (Oregon) (`us-west-2`). 
**Nota**  
Per impostare la configurazione di replica quando entrambi i bucket `amzn-s3-demo-source-bucket` e `amzn-s3-demo-destination-bucket` si trovano nello stesso Account AWS, utilizza lo stesso profilo. Questo esempio usa `acctA`. Per configurare la replica quando i bucket sono di proprietà di diversi Account AWS, è necessario specificare profili diversi per ciascuno di essi. 

   

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Quindi, crea un ruolo di servizio IAM. Questo ruolo verrà specificato nella configurazione della replica che verrà aggiunta al bucket `amzn-s3-demo-source-bucket` in un secondo momento. Amazon S3 assume questo ruolo per replicare gli oggetti per tuo conto. Il ruolo IAM si crea in due fasi:
   + Creazione di un ruolo del servizio
   + Collegare una policy di autorizzazione al ruolo.

   1. Per creare un ruolo di servizio IAM, procedi come segue:

      1. Copiare la seguente policy di attendibilità e salvala in un file denominato `s3-role-trust-policy-kmsobj.json` nella directory corrente sul computer locale. Questa policy fornisce le autorizzazioni ai principali del servizio Amazon S3 per assumere il ruolo in modo che Amazon S3 possa eseguire attività per conto dell'utente.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Usa il comando seguente per creare il ruolo:

         ```
         $ aws iam create-role \
         --role-name replicationRolekmsobj \
         --assume-role-policy-document file://s3-role-trust-policy-kmsobj.json  \
         --profile acctA
         ```

   1. Quindi, collega una policy di autorizzazione al ruolo. Questa policy di accesso concede le autorizzazioni per varie operazioni su oggetti e bucket Amazon S3. 

      1. Copiare la seguente policy di autorizzazioni e salvarla in un file denominato `s3-role-permissions-policykmsobj.json` nella directory corrente sul computer locale. Crea un ruolo IAM e successivamente collegalo alla policy. 
**Importante**  
Nella politica delle autorizzazioni, si specifica la AWS KMS chiave IDs che verrà utilizzata per la crittografia dei `amzn-s3-demo-source-bucket` bucket and. `amzn-s3-demo-destination-bucket` È necessario creare due chiavi KMS separate per i bucket and. `amzn-s3-demo-source-bucket` `amzn-s3-demo-destination-bucket` AWS KMS keys non sono condivisi al di fuori di quello Regione AWS in cui sono stati creati. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration",
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Effect":"Allow",
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket",
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ReplicateTags"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLikeIfExists":{
                        "s3:x-amz-server-side-encryption":[
                           "aws:kms",
                           "AES256",
                           "aws:kms:dsse"
                        ],
                        "s3:x-amz-server-side-encryption-aws-kms-key-id":[
                           "AWS KMS key IDs(in ARN format) to use for encrypting object replicas"  
                        ]
                     }
                  },
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               },
               {
                  "Action":[
                     "kms:Decrypt"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLike":{
                        "kms:ViaService":"s3.us-east-1.amazonaws.com",
                        "kms:EncryptionContext:aws:s3:arn":[
                           "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                        ]
                     }
                  },
                  "Resource":[
                     "arn:aws:kms:us-east-1:111122223333:key/key-id" 
                  ]
               },
               {
                  "Action":[
                     "kms:Encrypt"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLike":{
                        "kms:ViaService":"s3.us-west-2.amazonaws.com",
                        "kms:EncryptionContext:aws:s3:arn":[
                           "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
                        ]
                     }
                  },
                  "Resource":[
                     "arn:aws:kms:us-west-2:111122223333:key/key-id" 
                  ]
               }
            ]
         }
         ```

------

      1. Creare una policy e collegarla al ruolo.

         ```
         $ aws iam put-role-policy \
         --role-name replicationRolekmsobj \
         --policy-document file://s3-role-permissions-policykmsobj.json \
         --policy-name replicationRolechangeownerPolicy \
         --profile acctA
         ```

1. Quindi, aggiungi la seguente configurazione di replica al bucket `amzn-s3-demo-source-bucket` che indica ad Amazon S3 di replicare gli oggetti con prefisso `Tax/` nel bucket `amzn-s3-demo-destination-bucket`. 
**Importante**  
Nella configurazione di replica dovrai specificare il ruolo IAM che Amazon S3 può assumere. Puoi effettuare questa operazione solo se disponi dell'autorizzazione `iam:PassRole`. Il profilo specificato nel comando della CLI deve disporre di questa autorizzazione. Per ulteriori informazioni, consulta [Concessione di autorizzazioni utente per il passaggio di un ruolo a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella *Guida per l'utente di IAM*.

   ```
    <ReplicationConfiguration>
     <Role>IAM-Role-ARN</Role>
     <Rule>
       <Priority>1</Priority>
       <DeleteMarkerReplication>
          <Status>Disabled</Status>
       </DeleteMarkerReplication>
       <Filter>
          <Prefix>Tax</Prefix>
       </Filter>
       <Status>Enabled</Status>
       <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
           <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
       </SourceSelectionCriteria>
       <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <EncryptionConfiguration>
           <ReplicaKmsKeyID>AWS KMS key IDs to use for encrypting object replicas</ReplicaKmsKeyID>
         </EncryptionConfiguration>
       </Destination>
     </Rule>
   </ReplicationConfiguration>
   ```

   Per aggiungere una configurazione di replica al bucket `amzn-s3-demo-source-bucket`, procedi come segue:

   1.  AWS CLI Richiede di specificare la configurazione di replica come JSON. Salvare il seguente JSON in un file (`replication.json`) nella directory corrente sul computer locale. 

      ```
      {
         "Role":"IAM-Role-ARN",
         "Rules":[
            {
               "Status":"Enabled",
               "Priority":1,
               "DeleteMarkerReplication":{
                  "Status":"Disabled"
               },
               "Filter":{
                  "Prefix":"Tax"
               },
               "Destination":{
                  "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
                  "EncryptionConfiguration":{
                     "ReplicaKmsKeyID":"AWS KMS key IDs (in ARN format) to use for encrypting object replicas"
                  }
               },
               "SourceSelectionCriteria":{
                  "SseKmsEncryptedObjects":{
                     "Status":"Enabled"
                  }
               }
            }
         ]
      }
      ```

   1. Modifica il JSON per fornire valori per il bucket `amzn-s3-demo-destination-bucket`, `AWS KMS key IDs (in ARN format)` e `IAM-role-ARN`. Salvare le modifiche.

   1. Esegui il comando seguente per aggiungere la configurazione di replica al bucket `amzn-s3-demo-source-bucket`. Assicurati di fornire il nome del bucket di `amzn-s3-demo-source-bucket`.

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

1. Esegui il test della configurazione per verificare che gli oggetti crittografati vengano replicati. Nella console di Amazon S3 effettuare quanto segue:

   1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   1. Nel bucket di `amzn-s3-demo-source-bucket`, crea una cartella denominata `Tax`. 

   1. Aggiungere oggetti campione alla cartella. Assicurati di scegliere l'opzione di crittografia e specifica la chiave KMS per crittografare gli oggetti. 

   1. Verifica che il bucket `amzn-s3-demo-destination-bucket` contenga le repliche dell'oggetto e che queste vengano crittografate utilizzando la chiave KMS specificata nella configurazione. Per ulteriori informazioni, consulta [Ottenimento delle informazioni sullo stato della replica](replication-status.md).

### Utilizzando il AWS SDKs
<a name="replication-ex4-sdk"></a>

Per un esempio di codice che illustra come aggiungere una configurazione di replica, consulta [Utilizzando il AWS SDKs](replication-walkthrough1.md#replication-ex1-sdk). La configurazione della replica deve essere modificata di conseguenza. 

 

# Replica delle modifiche ai metadati con la sincronizzazione delle modifiche alla replica
<a name="replication-for-metadata-changes"></a>

La sincronizzazione delle modifiche alle repliche di Amazon S3 può aiutarti a mantenere i metadati degli oggetti come tag, liste di controllo degli accessi (ACLs) e impostazioni Object Lock replicati tra repliche e oggetti di origine. Per impostazione predefinita, Amazon S3 replica i metadati dagli oggetti di origine solo alle repliche. Quando la sincronizzazione delle modifiche alla replica è abilitata, Amazon S3 replica le modifiche dei metadati apportate alle copie di replica nell'oggetto di origine, rendendo la replica bidirezionale.

## Abilitazione della sincronizzazione delle modifiche alla replica
<a name="enabling-replication-for-metadata-changes"></a>

Puoi utilizzare la sincronizzazione delle modifiche alla replica Amazon S3 con regole di replica nuove o esistenti. È possibile applicarla a un intero bucket o agli oggetti che hanno un prefisso specifico.

Per abilitare la sincronizzazione delle modifiche alla replica mediante la console Amazon S3, consulta [Esempi di configurazione della replica in tempo reale](replication-example-walkthroughs.md). Questo argomento fornisce istruzioni per abilitare la sincronizzazione delle modifiche alla replica nella configurazione di replica quando i bucket di origine e di destinazione sono di proprietà uguale o diversa. Account AWS

Per abilitare la sincronizzazione delle modifiche alla replica utilizzando AWS Command Line Interface (AWS CLI), è necessario aggiungere una configurazione di replica al bucket contenente le repliche con enabled. `ReplicaModifications` Per impostare la replica bidirezionale, creare una regola di replica dal bucket di origine (`amzn-s3-demo-source-bucket`) al bucket contenente le repliche (`amzn-s3-demo-destination-bucket`). Quindi, creare una seconda regola di replica dal bucket contenente le repliche (`amzn-s3-demo-destination-bucket`) al bucket di origine (`amzn-s3-demo-source-bucket`). I bucket di origine e di destinazione possono essere uguali o diversi. Regioni AWS

**Nota**  
È necessario abilitare la sincronizzazione delle modifiche alla replica sia sul bucket di origine che su quello di destinazione per replicare le modifiche ai metadati della replica, ad esempio le liste di controllo dell'accesso agli oggetti (ACLs), i tag degli oggetti o le impostazioni di Object Lock sugli oggetti replicati. Analogamente a tutte le regole di replica, è possibile applicare queste regole all'intero bucket o a un sottoinsieme di oggetti filtrati per prefisso o tag di oggetto.

Nella seguente configurazione di esempio, Amazon S3 replica le modifiche dei metadati sotto il prefisso `Tax` al bucket `amzn-s3-demo-source-bucket`, che contiene gli oggetti di origine.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "SourceSelectionCriteria": {
                "ReplicaModifications":{
                    "Status": "Enabled"
                }
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-source-bucket"
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

Per istruzioni complete sulla creazione di regole di replica utilizzando il, vedere. AWS CLI[Configurazione della replica per i bucket nello stesso account](replication-walkthrough1.md)

# Replica dei contrassegni di eliminazione tra i bucket
<a name="delete-marker-replication"></a>

Per impostazione predefinita, quando la replica S3 è abilitata e un oggetto viene eliminato nel bucket di origine, Amazon S3 aggiunge un contrassegno di eliminazione solo nel bucket di origine. Questa operazione consente di proteggere i dati nei bucket di destinazione da eliminazioni accidentali o dolose. Se è stata abilitata la *replica dei contrassegni di eliminazione*, questi contrassegni vengono copiati nei bucket di destinazione e Amazon S3 si comporterà come se l'oggetto fosse stato eliminato nei bucket di origine e di destinazione. Per ulteriori informazioni sul funzionamento dei contrassegni di eliminazione, consulta [Utilizzo dei contrassegni di eliminazione](DeleteMarker.md).

**Nota**  
La replica dei contrassegni di eliminazione non è supportata per le regole di replica basate su tag. La replica dei contrassegni di eliminazione non rispetta l'Accordo sul livello di servizio (SLA) di 15 minuti concesso quando si utilizza il controllo del tempo di replica di S3 (S3 RTC).
Se non si utilizza la versione XML più recente della configurazione della replica, le operazioni di eliminazione influiscono sulla replica in modo diverso. Per ulteriori informazioni, consulta [Effetto delle operazioni di eliminazione sulla replica](replication-what-is-isnot-replicated.md#replication-delete-op).
Se si abilita la replica dei contrassegni di eliminazione e il bucket di origine ha una regola di scadenza del ciclo di vita S3, i contrassegni di eliminazione aggiunti dalla regola di scadenza del ciclo di vita S3 non verranno replicati nel bucket di destinazione.

## Abilitazione della replica dei contrassegni di eliminazione
<a name="enabling-delete-marker-replication"></a>

Puoi iniziare a utilizzare la replica dei contrassegni di eliminazione con una regola di replica nuova o esistente. È possibile applicare la replica dei contrassegni di eliminazione a un intero bucket o agli oggetti che hanno un prefisso specifico.

Per abilitare la replica dei contrassegni di eliminazione utilizzando la console Amazon S3, consulta [Utilizzo della console S3](replication-walkthrough1.md#enable-replication). Questo argomento fornisce istruzioni per abilitare la replica dei marker di eliminazione nella configurazione di replica quando i bucket di origine e di destinazione sono di proprietà uguale o diversa. Account AWS

Per abilitare la replica dei marker di eliminazione utilizzando AWS Command Line Interface (AWS CLI), è necessario aggiungere una configurazione di replica al bucket di origine con `DeleteMarkerReplication` enabled, come mostrato nella configurazione di esempio seguente. 

Nella seguente configurazione della replica di esempio, i contrassegni di eliminazione vengono replicati nel bucket di destinazione `amzn-s3-demo-destination-bucket` per gli oggetti sotto il prefisso `Tax`.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "DeleteMarkerReplication": {
                "Status": "Enabled"
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

Per istruzioni complete sulla creazione di regole di replica tramite, vedere. AWS CLI[Configurazione della replica per i bucket nello stesso account](replication-walkthrough1.md)