Protezione e crittografia dei dati in S3 Express One Zone - Amazon Simple Storage Service
Crittografia lato serverCrittografia in transitoChecksum aggiuntiviEliminazione dei dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione e crittografia dei dati in S3 Express One Zone

Per ulteriori informazioni su come S3 Express One Zone effettua la crittografia e la protezione dei dati, consulta i seguenti argomenti.

Argomenti

Crittografia lato server

Per impostazione predefinita, la crittografia è configurata per tutti i bucket di directory e tutti i nuovi oggetti caricati nei bucket di directory vengono crittografati automaticamente quando sono inattivi. La crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3) è la configurazione di crittografia predefinita per ogni bucket di directory. Se desideri specificare un tipo di crittografia diverso, puoi utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) chiavi (SSE-KMS), impostando la configurazione di crittografia predefinita del bucket. Per ulteriori informazioni su SSE - KMS in directory buckets, consulta. Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket di directory

Si consiglia che la crittografia predefinita del bucket utilizzi la configurazione di crittografia desiderata e di non sovrascrivere la crittografia predefinita del bucket nelle richieste o nelle CreateSession richieste di oggetti. PUT Quindi, i nuovi oggetti vengono crittografati automaticamente con le impostazioni di crittografia desiderate. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consultate Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS

SSE- KMS con i bucket di directory si differenzia dai SSE - KMS nei bucket di uso generale per i seguenti aspetti.

  • La tua SSE KMS configurazione può supportare solo 1 chiave gestita dal cliente per bucket di directory per tutta la durata del bucket. Il Chiave gestita da AWS(aws/s3) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE -KMS, non è possibile sostituire la chiave gestita dal cliente per la configurazione del SSE bucket. KMS

    È possibile identificare la chiave gestita dal cliente specificata per la KMS configurazione del bucket nel modo seguenteSSE:

    • Fai una richiesta HeadObject API operativa per trovare il valore di x-amz-server-side-encryption-aws-kms-key-id nella tua risposta.

    Per utilizzare una nuova chiave gestita dal cliente per i tuoi dati, ti consigliamo di copiare gli oggetti esistenti in un nuovo bucket di directory con una nuova chiave gestita dal cliente.

  • Per le APIoperazioni sugli endpoint zonali (a livello di oggetto), ad eccezione di CopyObjecte UploadPartCopy, è possibile autenticare e autorizzare le richieste per una bassa latenza. CreateSession Consigliamo che la crittografia predefinita del bucket utilizzi la configurazione di crittografia desiderata e di non sovrascrivere la crittografia predefinita del bucket nelle richieste o nelle richieste di oggetti. CreateSession PUT Quindi, i nuovi oggetti vengono crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare nuovi oggetti in un bucket di directory con SSE -KMS, è necessario specificare SSE - KMS come configurazione di crittografia predefinita del bucket di directory con una KMS chiave (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per API le operazioni degli endpoint zonali, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE - KMS e S3 Bucket Keys durante la sessione. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS

    Nelle API chiamate agli endpoint zonali (eccetto CopyObjecte UploadPartCopy), non è possibile sovrascrivere i valori delle impostazioni di crittografia (,, e) della richiesta. x-amz-server-side-encryption x-amz-server-side-encryption-aws-kms-key-id x-amz-server-side-encryption-context x-amz-server-side-encryption-bucket-key-enabled CreateSession Non è necessario specificare esplicitamente questi valori delle impostazioni di crittografia nelle API chiamate endpoint zonali e Amazon S3 utilizzerà i valori delle impostazioni di crittografia della CreateSession richiesta per proteggere i nuovi oggetti nel bucket di directory.

    Nota

    Quando usi AWS CLI o AWS SDKs, forCreateSession, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. AWS CLI Oppure AWS SDKs utilizza la configurazione di crittografia predefinita del bucket per la richiesta. CreateSession Non è supportato l'override dei valori delle impostazioni di crittografia nella CreateSession richiesta. Inoltre, nelle API chiamate agli endpoint zonali (eccetto CopyObjecte UploadPartCopy), non è supportato e sostituisce i valori delle impostazioni di crittografia della richiesta. CreateSession

  • Per CopyObjectcrittografare nuove copie di oggetti in un bucket di directory con SSE -KMS, è necessario specificare SSE - KMS come configurazione di crittografia predefinita del bucket di directory con una KMS chiave (in particolare, una chiave gestita dal cliente). Quindi, quando specificate le impostazioni di crittografia sul lato server per le nuove copie di oggetti con SSE -KMS, dovete assicurarvi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket di directory. Per UploadPartCopycrittografare nuove copie di parti di oggetti in un bucket di directory con SSE -KMS, è necessario specificare SSE - KMS come configurazione di crittografia predefinita del bucket di directory con una KMS chiave (in particolare, una chiave gestita dal cliente). Non è possibile specificare le impostazioni di crittografia sul lato server per le nuove copie di parti dell'oggetto utilizzando SSE - KMS nelle intestazioni della richiesta. UploadPartCopy Inoltre, le impostazioni di crittografia fornite nella CreateMultipartUploadrichiesta devono corrispondere alla configurazione di crittografia predefinita del bucket di destinazione.

  • Le chiavi S3 Bucket sono sempre abilitate per GET PUT tutte le operazioni in un bucket di directory e non possono essere disabilitate. Le S3 Bucket Keys non sono supportate, quando copiSSE: oggetti KMS crittografati da bucket generici a bucket di directory, da bucket di directory a bucket generici o tra bucket di directory, tramite CopyObject, UploadPartCopy, il Copy operazione in Batch Operations, oppure import lavori. In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto KMS crittografato.

  • Quando specifichi una chiave gestita AWS KMS dal cliente per la crittografia nel tuo bucket di directory, usa solo l'ID o la chiave della chiave. ARN Il formato dell'alias della KMS chiave non è supportato.

I bucket di directory non supportano la crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) chiavi (DSSE-) o la crittografia lato server con chiavi di crittografia fornite dal cliente (-CKMS). SSE

Crittografia in transito

È possibile accedere a S3 Express One Zone solo tramite (). HTTPS TLS

S3 Express One Zone utilizza endpoint regionali e API zonali. A seconda dell'APIoperazione di Amazon S3 utilizzata, è necessario un endpoint regionale o zonale. Puoi accedere agli endpoint zonali e regionali tramite un endpoint gateway virtual private cloud (). VPC L'utilizzo di endpoint gateway non comporta costi supplementari. Per ulteriori informazioni sugli endpoint regionali e zonaliAPI, consulta. Servizi di rete per S3 Express One Zone

Checksum aggiuntivi

S3 Express One Zone offre la possibilità di scegliere l'algoritmo di checksum utilizzato per convalidare i dati durante il caricamento o il download. È possibile selezionare uno dei seguenti algoritmi di controllo dell'integrità dei dati Secure Hash Algorithms (SHA) o Cyclic Redundancy Check (CRC):,, -1 e -256. CRC32 CRC32C SHA SHA MD5i checksum basati non sono supportati con la classe di storage S3 Express One Zone.

Per ulteriori informazioni, consulta Best practice per il checksum S3 aggiuntivo.

Eliminazione dei dati

Puoi eliminare uno o più oggetti direttamente da S3 Express One Zone utilizzando la console Amazon S3 AWS SDKs, AWS Command Line Interface ,AWS CLI() o Amazon S3. REST API Tutti gli oggetti nel bucket di directory sono soggetti a costi di archiviazione, pertanto è necessario eliminare gli oggetti non più necessari.

L'eliminazione di un oggetto archiviato in un bucket di directory elimina in modo ricorsivo anche tutte le directory padre, se queste non contengono oggetti diversi dall'oggetto che viene eliminato.

Nota

L'autenticazione a più fattori (MFA), l'eliminazione e il controllo delle versioni S3 non sono supportati per S3 Express One Zone.