Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket di directory
<a name="s3-express-UsingKMSEncryption"></a>

 I controlli di sicurezza integrati AWS KMS possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia. Puoi scegliere di configurare i bucket di directory per utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) chiavi (SSE-KMS) e utilizzare queste chiavi KMS per proteggere i dati nei bucket di directory Amazon S3. Per ulteriori informazioni su SSE-KMS, consulta [Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS](UsingKMSEncryption.md).

**Permissions**  
Per caricare o scaricare un oggetto crittografato con o AWS KMS key da Amazon S3, sono necessarie `kms:GenerateDataKey` le `kms:Decrypt` autorizzazioni sulla chiave. Per ulteriori informazioni, consulta l'argomento relativo all'[autorizzazione concessa agli utenti delle chiavi di utilizzare una chiave KMS per le operazioni di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto) nella *Guida per gli sviluppatori di AWS Key Management Service *. Per informazioni sulle AWS KMS autorizzazioni necessarie per i caricamenti in più parti, consulta. [Autorizzazioni e API per il caricamento in più parti](mpuoverview.md#mpuAndPermissions)

Per ulteriori informazioni sulle chiavi KMS per SSE-KMS, consulta [Specificare la crittografia lato server con AWS KMS (SSE-KMS)](specifying-kms-encryption.md).

**Topics**
+ [AWS KMS keys](#s3-express-aws-managed-customer-managed-keys)
+ [Utilizzo di SSE-KMS per le operazioni tra account](#s3-express-bucket-encryption-update-bucket-policy)
+ [Chiavi bucket Amazon S3](#s3-express-sse-kms-bucket-keys)
+ [Richiesta di SSE-KMS](#s3-express-require-sse-kms)
+ [Contesto di crittografia](#s3-express-encryption-context)
+ [Invio di richieste per AWS KMS oggetti crittografati](#s3-express-aws-signature-version-4-sse-kms)
+ [Verifica della crittografia SSE-KMS nei bucket di directory](#s3-express-bucket-encryption-sse-auditing)
+ [Specificazione della crittografia lato server con AWS KMS (SSE-KMS) per il caricamento di nuovi oggetti nei bucket di directory](s3-express-specifying-kms-encryption.md)

## AWS KMS keys
<a name="s3-express-aws-managed-customer-managed-keys"></a>

La configurazione di SSE-KMS può supportare solo 1 [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per ogni bucket di directory per tutta la durata del bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket.

È possibile identificare la chiave gestita dal cliente specificata per la configurazione SSE-KMS del bucket, nel modo seguente:
+ Si effettua una richiesta di operazione API `HeadObject` per trovare il valore di `x-amz-server-side-encryption-aws-kms-key-id` nella risposta.

Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.

Quando si specifica una [chiave gestita dal cliente AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia nel bucket della directory, utilizzare solo l'ID chiave o l'ARN chiave. Il formato alias della chiave KMS non è supportato.

Per ulteriori informazioni sulle chiavi KMS per SSE-KMS, consulta [AWS KMS keys](UsingKMSEncryption.md#aws-managed-customer-managed-keys).

## Utilizzo di SSE-KMS per le operazioni tra account
<a name="s3-express-bucket-encryption-update-bucket-policy"></a>

Quando si utilizza la crittografia per le operazioni tra account nei bucket della directory, tieni presente quanto segue:
+ Se desideri garantire l'accesso multi-account agli oggetti S3, configura una policy di una chiave gestita dal cliente per consentire l'accesso da un altro account.
+ Per specificare una chiave gestita dal cliente, è necessario utilizzare un ARN di chiave KMS completamente qualificato.

## Chiavi bucket Amazon S3
<a name="s3-express-sse-kms-bucket-keys"></a>

Le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [l'operazione Copy in Operazioni in batch](directory-buckets-objects-Batch-Ops.md) o i [processi import](create-import-job.md). In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS.

Per le [operazioni API degli endpoint zonali (a livello di oggetto)](s3-express-differences.md#s3-express-differences-api-operations), ad eccezione di [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), puoi autenticare e autorizzare le richieste per una bassa latenza. [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificare la crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)

Le S3 Bucket Key vengono utilizzate per un periodo di tempo limitato all'interno di Amazon S3, riducendo ulteriormente la necessità per Amazon S3 di effettuare richieste per completare le operazioni di crittografia. AWS KMS Per ulteriori informazioni sull'uso delle chiavi S3 Bucket, consulta [Chiavi bucket Amazon S3](UsingKMSEncryption.md#sse-kms-bucket-keys) e [Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3](bucket-key.md).

## Richiesta di SSE-KMS
<a name="s3-express-require-sse-kms"></a>

Per richiedere SSE-KMS a tutti gli oggetti di un particolare bucket di directory, è possibile utilizzare una policy di bucket. Ad esempio, quando si utilizza l'operazione API `CreateSession` per concedere il permesso di caricare un nuovo oggetto (`PutObject`, `CopyObject` e `CreateMultipartUpload`), la seguente policy del bucket nega il permesso di caricare l'oggetto (`s3express:CreateSession`) a tutti se la richiesta `CreateSession` non include un'intestazione `x-amz-server-side-encryption-aws-kms-key-id` che richiede SSE-KMS.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"UploadObjectPolicy",
   "Statement":[{
         "Sid":"DenyObjectsThatAreNotSSEKMS",
         "Effect":"Deny",
         "Principal":"*",
         "Action":"s3express:CreateSession",
         "Resource":"arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
         "Condition":{
            "Null":{
               "s3express:x-amz-server-side-encryption-aws-kms-key-id":"true"
            }
         }
      }
   ]
}
```

------

Per richiedere che un particolare AWS KMS key venga utilizzato per crittografare gli oggetti in un bucket, puoi utilizzare la chiave di condizione. `s3express:x-amz-server-side-encryption-aws-kms-key-id` Per specificare la chiave KMS, devi utilizzare una chiave Amazon Resource Name (ARN) nel `arn:aws:kms:region:acct-id:key/key-id` formato. AWS Identity and Access Management non convalida se la stringa for esiste. `s3express:x-amz-server-side-encryption-aws-kms-key-id` L'ID della AWS KMS chiave utilizzato da Amazon S3 per la crittografia degli oggetti deve corrispondere all'ID della AWS KMS chiave nella policy, altrimenti Amazon S3 nega la richiesta.

Per ulteriori informazioni su come utilizzare SSE-KMS per il caricamento di nuovi oggetti, consulta [Specificazione della crittografia lato server con AWS KMS (SSE-KMS) per il caricamento di nuovi oggetti nei bucket di directory](s3-express-specifying-kms-encryption.md).

Per un elenco completo delle chiavi di condizione specifiche per i bucket di directory, consulta [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md).

## Contesto di crittografia
<a name="s3-express-encryption-context"></a>

Per i bucket di directory, un *contesto di crittografia* è un insieme di coppie chiave-valore che contiene informazioni contestuali sui dati. Non è supportato un valore aggiuntivo del contesto di crittografia. Per ulteriori informazioni sul contesto di crittografia, consulta [Contesto di crittografia](UsingKMSEncryption.md#encryption-context). 



Per impostazione predefinita, se si utilizza SSE-KMS su un bucket di directory, Amazon S3 utilizza il nome della risorsa Amazon (ARN) del bucket come coppia di contesto di crittografia:

```
arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3
```

Assicurati che le policy IAM o le policy AWS KMS chiave utilizzino l'ARN del bucket come contesto di crittografia.

Facoltativamente, puoi fornire una coppia di contesti di crittografia espliciti utilizzando l'`x-amz-server-side-encryption-context`intestazione in una richiesta API di un endpoint Zonal, ad esempio. [ CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html#API_CreateSession_RequestSyntax) Il valore di questa intestazione è una stringa codificata Base64 di un JSON codificato UTF-8, che contiene il contesto di crittografia come coppie chiave-valore. Per i bucket di directory, il contesto di crittografia deve corrispondere al contesto di crittografia predefinito: il nome della risorsa Amazon (ARN) del bucket. Inoltre, poiché il contesto di crittografia non è criptato, assicurarsi che non contenga informazioni sensibili.

È possibile utilizzare il contesto di crittografia per identificare e categorizzare le operazioni di crittografia. È inoltre possibile utilizzare il valore ARN del contesto di crittografia predefinito per tenere traccia delle richieste pertinenti AWS CloudTrail visualizzando in quale bucket di directory l'ARN è stato utilizzato con quale chiave di crittografia.

Nel `requestParameters` campo di un file di CloudTrail registro, se si utilizza SSE-KMS su un bucket di directory, il valore del contesto di crittografia è l'ARN del bucket. 

```
"encryptionContext": {
    "aws:s3express:arn": "arn:aws:s3:::arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
}
```

Inoltre, per la crittografia degli oggetti con SSE-KMS in un bucket di directory, AWS KMS CloudTrail gli eventi registrano l'ARN del bucket anziché l'ARN dell'oggetto. 

## Invio di richieste per AWS KMS oggetti crittografati
<a name="s3-express-aws-signature-version-4-sse-kms"></a>

È possibile accedere ai bucket di directory solo tramite HTTPS (TLS). Inoltre, i bucket di directory firmano le richieste utilizzando AWS Signature Version 4 (SigV4). Per ulteriori informazioni sull'invio di richieste di oggetti AWS KMS crittografati, vedere. [Invio di richieste per oggetti AWS KMS crittografati](UsingKMSEncryption.md#aws-signature-version-4-sse-kms)

Se l'oggetto utilizza SSE-KMS, non inviare intestazioni di richiesta di crittografia per le richieste `GET` e `HEAD`. In caso contrario, riceverai un errore HTTP 400 Bad Request (HTTP 400 - Richiesta non valida).

## Verifica della crittografia SSE-KMS nei bucket di directory
<a name="s3-express-bucket-encryption-sse-auditing"></a>

Per verificare l'utilizzo delle AWS KMS chiavi per i dati crittografati SSE-KMS, è possibile utilizzare i log. AWS CloudTrail Puoi ottenere informazioni dettagliate sulle tue [operazioni crittografiche](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations), ad esempio e. [https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html) CloudTrail supporta numerosi [valori di attributo](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) per filtrare la ricerca, tra cui il nome dell'evento, il nome utente e l'origine dell'evento. 

**Topics**
+ [AWS KMS keys](#s3-express-aws-managed-customer-managed-keys)
+ [Utilizzo di SSE-KMS per le operazioni tra account](#s3-express-bucket-encryption-update-bucket-policy)
+ [Chiavi bucket Amazon S3](#s3-express-sse-kms-bucket-keys)
+ [Richiesta di SSE-KMS](#s3-express-require-sse-kms)
+ [Contesto di crittografia](#s3-express-encryption-context)
+ [Invio di richieste per AWS KMS oggetti crittografati](#s3-express-aws-signature-version-4-sse-kms)
+ [Verifica della crittografia SSE-KMS nei bucket di directory](#s3-express-bucket-encryption-sse-auditing)
+ [Specificazione della crittografia lato server con AWS KMS (SSE-KMS) per il caricamento di nuovi oggetti nei bucket di directory](s3-express-specifying-kms-encryption.md)

# Specificazione della crittografia lato server con AWS KMS (SSE-KMS) per il caricamento di nuovi oggetti nei bucket di directory
<a name="s3-express-specifying-kms-encryption"></a>

Per i bucket di directory, per crittografare i dati con la crittografia lato server, puoi utilizzare la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) (impostazione predefinita) o la crittografia lato server con () chiavi (SSE-KMS). AWS Key Management Service AWS KMS Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)

Tutti i bucket Amazon S3 hanno la crittografia configurata per impostazione predefinita e tutti i nuovi oggetti caricati in un bucket S3 vengono automaticamente crittografati quando sono a riposo. La crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3) è la configurazione predefinita della crittografia per ogni bucket di Amazon S3. Se si desidera specificare un tipo di crittografia diverso per un bucket di directory, è possibile utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). [Chiave gestita da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. La configurazione di SSE-KMS può supportare solo 1 [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per ogni bucket di directory per tutta la durata del bucket. Dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket. Quindi, quando si specificano le impostazioni di crittografia lato server per i nuovi oggetti con SSE-KMS, è necessario assicurarsi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket della directory. Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.

È possibile applicare la crittografia quando stai caricando un nuovo oggetto o copiando un oggetto esistente. Se si modifica la crittografia di un oggetto, viene creato un nuovo oggetto per sostituire quello precedente.

È possibile specificare SSE-KMS utilizzando le operazioni dell'API REST e il (). AWS SDKs AWS Command Line Interface AWS CLI

**Nota**  
 Per i bucket di directory, i comportamenti di esclusione della crittografia sono i seguenti:   
Quando si utilizza l'[CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)API REST per autenticare e autorizzare le richieste API degli endpoint Zonal, ad eccezione di [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), è possibile sovrascrivere le impostazioni di crittografia impostando SSE-S3 o SSE-KMS solo se in precedenza è stata specificata la crittografia predefinita del bucket con SSE-KMS.
Quando si utilizza [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)con AWS CLI o per autenticare e autorizzare le richieste API degli endpoint Zonal, AWS SDKs ad eccezione di e, non è possibile sovrascrivere affatto le impostazioni di crittografia. [CopyObject[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
Quando si effettuano [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)richieste, è possibile sostituire le impostazioni di crittografia in SSE-S3 o SSE-KMS solo se in precedenza è stata specificata la crittografia predefinita del bucket con SSE-KMS. Quando si effettuano richieste, non è possibile sovrascrivere le impostazioni di crittografia. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
Puoi usare più regioni AWS KMS keys in Amazon S3. Tuttavia, Amazon S3 attualmente tratta le chiavi multiregionali come se fossero chiavi monoregionali e non utilizza le caratteristiche multiregionali della chiave. Per ulteriori informazioni, consulta [ Utilizzo delle chiavi multi-regione](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Se si desidera utilizzare una chiave KMS di proprietà di un altro account, è necessario avere l'autorizzazione a utilizzarla. Per ulteriori informazioni sulle autorizzazioni tra account per le chiavi KMS, vedi [Creazione di chiavi KMS utilizzabili da altri account](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) nella *Guida per gli sviluppatori di AWS Key Management Service *. 

## Utilizzo della REST API
<a name="s3-express-KMSUsingRESTAPI"></a>

**Nota**  
 Per ogni bucket di directory è supportata una sola [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per tutta la durata del bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. Dopo aver specificato SSE-KMS come configurazione di crittografia predefinita del bucket con una chiave gestita dal cliente, non è possibile modificare la chiave gestita dal cliente per la configurazione SSE-KMS del bucket. 

Per le [operazioni API degli endpoint zonali (a livello di oggetto), ad eccezione [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)di e, puoi](s3-express-differences.md#s3-express-differences-api-operations) autenticare e autorizzare le richieste per una bassa latenza. [UploadPartCopy[CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Si consiglia di utilizzare la crittografia predefinita del bucket con le configurazioni di crittografia desiderate e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificare la crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)

Nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)) che utilizzano l'API REST, non è possibile sovrascrivere i valori delle impostazioni di crittografia (,, e) dalla richiesta. `x-amz-server-side-encryption` `x-amz-server-side-encryption-aws-kms-key-id` `x-amz-server-side-encryption-context` `x-amz-server-side-encryption-bucket-key-enabled` `CreateSession` Non è necessario specificare esplicitamente i valori delle impostazioni di crittografia nelle chiamate API dell'endpoint di zona; Amazon S3 utilizzerà i valori delle impostazioni di crittografia dalla richiesta `CreateSession` per proteggere i nuovi oggetti nel bucket della directory. 

**Nota**  
Quando si utilizza AWS CLI o AWS SDKs, for`CreateSession`, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. AWS CLI Oppure AWS SDKs utilizza la configurazione di crittografia predefinita del bucket per la richiesta. `CreateSession` Non è supportato l'annullamento dei valori delle impostazioni di crittografia nella richiesta `CreateSession`. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è supportato l'override dei valori delle impostazioni di crittografia della richiesta. `CreateSession` 

[Per [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)crittografare nuove copie di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Quindi, quando si specificano le impostazioni di crittografia lato server per le nuove copie di oggetti con SSE-KMS, è necessario assicurarsi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket della directory. Per [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)crittografare nuove copie di parti di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Non è possibile specificare le impostazioni di crittografia sul lato server per le nuove copie di parti di oggetti con SSE-KMS nelle intestazioni delle richieste. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Inoltre, le impostazioni di crittografia fornite nella [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)richiesta devono corrispondere alla configurazione di crittografia predefinita del bucket di destinazione. 



**Topics**
+ [Operazioni REST API di Amazon S3 che supportano SSE-KMS](#s3-express-sse-request-headers-kms)
+ [Contesto di crittografia (`x-amz-server-side-encryption-context`)](#s3-express-s3-kms-encryption-context)
+ [AWS KMS ID chiave () `x-amz-server-side-encryption-aws-kms-key-id`](#s3-express-s3-kms-key-id-api)
+ [Chiavi bucket S3 (`x-amz-server-side-encryption-aws-bucket-key-enabled`)](#s3-express-bucket-key-api)

### Operazioni REST API di Amazon S3 che supportano SSE-KMS
<a name="s3-express-sse-request-headers-kms"></a>

Le seguenti operazioni REST API a livello di oggetto nei bucket di directory accettano le intestazioni di richiesta `x-amz-server-side-encryption`, `x-amz-server-side-encryption-aws-kms-key-id`e `x-amz-server-side-encryption-context`.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)— Quando si utilizzano le operazioni API Zonal Endpoint (a livello di oggetto) (eccetto CopyObject e UploadPartCopy), è possibile specificare queste intestazioni di richiesta. 
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html): quando carichi i dati utilizzando l'operazione API `PUT`, è possibile specificare queste intestazioni di richiesta. 
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) - Quando si copia un oggetto, si ha un oggetto di origine e un oggetto di destinazione. Quando si passano le intestazioni SSE-KMS con l'operazione `CopyObject`, queste vengono applicate solo all'oggetto di destinazione.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) - Quando si caricano oggetti di grandi dimensioni utilizzando l'operazione API di caricamento multiparte, è possibile specificare queste intestazioni. Queste intestazioni vengono specificate nella richiesta `CreateMultipartUpload`.

Le intestazioni di risposta delle seguenti operazioni REST API restituiscono l'intestazione `x-amz-server-side-encryption` quando un oggetto viene memorizzato utilizzando la crittografia lato server.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)

**Importante**  
Tutte le richieste di `GET` e `PUT` per un oggetto protetto da AWS KMS falliscono se non si effettuano queste richieste utilizzando il Transport Layer Security (TLS) o la Signature Version 4.
Se il tuo oggetto utilizza SSE-KMS, non inviare le intestazioni delle richieste di crittografia per `GET` richieste e `HEAD` richieste, altrimenti riceverai un errore HTTP 400. BadRequest

### Contesto di crittografia (`x-amz-server-side-encryption-context`)
<a name="s3-express-s3-kms-encryption-context"></a>

Se si specifica `x-amz-server-side-encryption:aws:kms`, l'API di Amazon S3 consente di fornire facoltativamente un contesto di crittografia esplicito con l'intestazione `x-amz-server-side-encryption-context`. Per i bucket di directory, un contesto di crittografia è un insieme di coppie chiave-valore che contengono informazioni contestuali sui dati. Il valore deve corrispondere al contesto di crittografia predefinito: il nome della risorsa Amazon (ARN) per il bucket. Non è supportato un valore aggiuntivo del contesto di crittografia. 

Per informazioni sul contesto di crittografia nei bucket di directory, consulta [Contesto di crittografia](s3-express-UsingKMSEncryption.md#s3-express-encryption-context). Per informazioni generali sul contesto di crittografia, consulta [Concetti di AWS Key Management Service : Contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) nella *Guida per gli sviluppatori di AWS Key Management Service *. 

### AWS KMS ID chiave () `x-amz-server-side-encryption-aws-kms-key-id`
<a name="s3-express-s3-kms-key-id-api"></a>

Puoi utilizzare l'intestazione `x-amz-server-side-encryption-aws-kms-key-id` per specificare l'ID della chiave gestita dal cliente utilizzata per proteggere i dati.

La configurazione di SSE-KMS può supportare solo 1 [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per ogni bucket di directory per tutta la durata del bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket.

È possibile identificare la chiave gestita dal cliente specificata per la configurazione SSE-KMS del bucket, nel modo seguente:
+ Si effettua una richiesta di operazione API `HeadObject` per trovare il valore di `x-amz-server-side-encryption-aws-kms-key-id` nella risposta.

Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.

Per informazioni sul contesto di crittografia nei bucket di directory, consulta [AWS KMS keys](s3-express-UsingKMSEncryption.md#s3-express-aws-managed-customer-managed-keys). 

### Chiavi bucket S3 (`x-amz-server-side-encryption-aws-bucket-key-enabled`)
<a name="s3-express-bucket-key-api"></a>

Le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [l'operazione Copy in Operazioni in batch](directory-buckets-objects-Batch-Ops.md) o i [processi import](create-import-job.md). In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS. Per informazioni sulle chiavi dei bucket S3 nei bucket di directory, consulta [Contesto di crittografia](s3-express-UsingKMSEncryption.md#s3-express-encryption-context). 

## Utilizzando il AWS CLI
<a name="s3-express-KMSUsingCLI"></a>

**Nota**  
Quando si utilizza AWS CLI, for`CreateSession`, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. Non è supportato sovrascrivere i valori delle impostazioni di crittografia per la richiesta `CreateSession`. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è supportato l'override dei valori delle impostazioni di crittografia della richiesta. `CreateSession`   
Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione.

Per utilizzare i seguenti AWS CLI comandi di esempio, sostituiscili `user input placeholders` con le tue informazioni.

Quando caricate un nuovo oggetto o copiate un oggetto esistente, potete specificare l'uso della crittografia lato server con AWS KMS chiavi per crittografare i dati. A tal fine, utilizzare il comando `put-bucket-encryption` per impostare la configurazione di crittografia predefinita del bucket della directory come SSE-KMS (`aws:kms`). In particolare, aggiungi l'intestazione `--server-side-encryption aws:kms` alla richiesta. Utilizza il `--ssekms-key-id example-key-id` per aggiungere la [AWS KMS chiave gestita dal cliente](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#customer-cmk) che hai creato. Se lo specifichi`--server-side-encryption aws:kms`, devi fornire un ID AWS KMS chiave della tua chiave gestita dal cliente. I bucket di directory non utilizzano una chiave AWS gestita. Per un comando di esempio, consulta [Utilizzando il AWS CLI](s3-express-bucket-encryption.md#s3-express-default-bucket-encryption-cli). 

Quindi, quando si carica un nuovo oggetto con il seguente comando, Amazon S3 utilizza le impostazioni del bucket per la crittografia predefinita per crittografare l'oggetto in modo predefinito.

```
aws s3api put-object --bucket bucket-base-name--zone-id--x-s3 --key example-object-key --body filepath
```

Non è necessario aggiungere esplicitamente `-\-bucket-key-enabled` nei comandi delle operazioni API dell'endpoint di zona. Le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [l'operazione Copy in Operazioni in batch](directory-buckets-objects-Batch-Ops.md) o i [processi import](create-import-job.md). In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS.

È possibile copiare un oggetto da un bucket di origine (ad esempio, un bucket per uso generico) in un nuovo bucket (ad esempio, un bucket di directory) e utilizzare la crittografia SSE-KMS per gli oggetti di destinazione. A tal fine, utilizza il comando `put-bucket-encryption` per impostare la configurazione di crittografia predefinita del bucket di destinazione (ad esempio, un bucket di directory) come SSE-KMS (`aws:kms`). Per un comando di esempio, consulta [Utilizzando il AWS CLI](s3-express-bucket-encryption.md#s3-express-default-bucket-encryption-cli). Quindi, quando si copia un oggetto con il seguente comando, Amazon S3 utilizza le impostazioni del bucket per la crittografia predefinita per crittografare l'oggetto per impostazione predefinita.

```
aws s3api copy-object --copy-source amzn-s3-demo-bucket/example-object-key --bucket bucket-base-name--zone-id--x-s3 --key example-object-key  
```

## Usando il AWS SDKs
<a name="s3-express-kms-using-sdks"></a>

Durante l'utilizzo AWS SDKs, puoi richiedere che Amazon S3 venga utilizzato AWS KMS keys per la crittografia lato server. Gli esempi seguenti mostrano come usare SSE-KMS con Java e.NET. AWS SDKs Per informazioni su altri SDKs, consulta [Codice di esempio e librerie](https://aws.amazon.com/code) nel AWS Developer Center.

**Nota**  
Quando si utilizza AWS SDKs, for`CreateSession`, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. Non è supportato sovrascrivere i valori delle impostazioni di crittografia per la richiesta `CreateSession`. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è supportato l'override dei valori delle impostazioni di crittografia della richiesta. `CreateSession`   
Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione.  
Per ulteriori informazioni sull'utilizzo AWS SDKs per impostare la configurazione di crittografia predefinita di un bucket di directory come SSE-KMS, vedere. [Utilizzo del AWS SDKs](s3-express-bucket-encryption.md#s3-express-kms-put-bucket-encryption-using-sdks)

**Importante**  
Quando utilizzi una chiave KMS AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Amazon S3 supporta solo chiavi KMS di crittografia simmetrica. Per ulteriori informazioni sulle chiavi, consulta [Chiavi KMS di crittografia simmetrica](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) nella *Guida per gli sviluppatori di AWS Key Management Service *.

*Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta [Programming the API nella AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html) Developer Guide.AWS Key Management Service *