Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione e crittografia dei dati
Per ulteriori informazioni su come configurare la crittografia per i bucket di directory, consultate i seguenti argomenti.
Argomenti
Crittografia lato server
La crittografia di tutti i bucket di directory è configurata per impostazione predefinita e tutti i nuovi oggetti caricati nei bucket di directory vengono crittografati automaticamente quando sono inattivi. La crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3) è la configurazione di crittografia predefinita per ogni bucket di directory. Se desideri specificare un tipo di crittografia diverso, puoi utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) chiavi (SSE-KMS), impostando la configurazione di crittografia predefinita del bucket. Per ulteriori informazioni su SSE - KMS in directory buckets, consulta. Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket di directory
Si consiglia che la crittografia predefinita del bucket utilizzi la configurazione di crittografia desiderata e di non sovrascrivere la crittografia predefinita del bucket nelle richieste o nelle CreateSession
richieste di oggetti. PUT
Quindi, i nuovi oggetti vengono crittografati automaticamente con le impostazioni di crittografia desiderate. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consultate Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS
SSE- KMS con i bucket di directory si differenzia dai SSE - KMS nei bucket di uso generale per i seguenti aspetti.
-
La tua SSE KMS configurazione può supportare solo 1 chiave gestita dal cliente per bucket di directory per tutta la durata del bucket. Il Chiave gestita da AWS(
aws/s3
) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE -KMS, non è possibile sostituire la chiave gestita dal cliente per la configurazione del SSE bucket. KMSÈ possibile identificare la chiave gestita dal cliente specificata per la KMS configurazione del bucket nel modo seguenteSSE:
Fai una richiesta
HeadObject
API operativa per trovare il valore dix-amz-server-side-encryption-aws-kms-key-id
nella tua risposta.
Per utilizzare una nuova chiave gestita dal cliente per i tuoi dati, ti consigliamo di copiare gli oggetti esistenti in un nuovo bucket di directory con una nuova chiave gestita dal cliente.
-
Per le APIoperazioni sugli endpoint zonali (a livello di oggetto), ad eccezione di CopyObjecte UploadPartCopy, è possibile autenticare e autorizzare le richieste per una bassa latenza. CreateSession Consigliamo che la crittografia predefinita del bucket utilizzi la configurazione di crittografia desiderata e di non sovrascrivere la crittografia predefinita del bucket nelle richieste o nelle richieste di oggetti.
CreateSession
PUT
Quindi, i nuovi oggetti vengono crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare nuovi oggetti in un bucket di directory con SSE -KMS, è necessario specificare SSE - KMS come configurazione di crittografia predefinita del bucket di directory con una KMS chiave (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per API le operazioni degli endpoint zonali, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE - KMS e S3 Bucket Keys durante la sessione. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMSNelle API chiamate agli endpoint zonali (eccetto CopyObjecte UploadPartCopy), non è possibile sovrascrivere i valori delle impostazioni di crittografia (,, e) della richiesta.
x-amz-server-side-encryption
x-amz-server-side-encryption-aws-kms-key-id
x-amz-server-side-encryption-context
x-amz-server-side-encryption-bucket-key-enabled
CreateSession
Non è necessario specificare esplicitamente questi valori delle impostazioni di crittografia nelle API chiamate endpoint zonali e Amazon S3 utilizzerà i valori delle impostazioni di crittografia dellaCreateSession
richiesta per proteggere i nuovi oggetti nel bucket di directory.Nota
Quando usi AWS CLI o AWS SDKs, for
CreateSession
, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. AWS CLI Oppure AWS SDKs utilizza la configurazione di crittografia predefinita del bucket per la richiesta.CreateSession
Non è supportato l'override dei valori delle impostazioni di crittografia nellaCreateSession
richiesta. Inoltre, nelle API chiamate agli endpoint zonali (eccetto CopyObjecte UploadPartCopy), non è supportato e sostituisce i valori delle impostazioni di crittografia della richiesta.CreateSession
-
Per CopyObjectcrittografare nuove copie di oggetti in un bucket di directory con SSE -KMS, è necessario specificare SSE - KMS come configurazione di crittografia predefinita del bucket di directory con una KMS chiave (in particolare, una chiave gestita dal cliente). Quindi, quando specificate le impostazioni di crittografia sul lato server per le nuove copie di oggetti con SSE -KMS, dovete assicurarvi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket di directory. Per UploadPartCopycrittografare nuove copie di parti di oggetti in un bucket di directory con SSE -KMS, è necessario specificare SSE - KMS come configurazione di crittografia predefinita del bucket di directory con una KMS chiave (in particolare, una chiave gestita dal cliente). Non è possibile specificare le impostazioni di crittografia sul lato server per le nuove copie di parti dell'oggetto utilizzando SSE - KMS nelle intestazioni della richiesta. UploadPartCopy Inoltre, le impostazioni di crittografia fornite nella CreateMultipartUploadrichiesta devono corrispondere alla configurazione di crittografia predefinita del bucket di destinazione.
-
Le chiavi S3 Bucket sono sempre abilitate per
GET
PUT
tutte le operazioni in un bucket di directory e non possono essere disabilitate. Le S3 Bucket Keys non sono supportate, quando copiSSE: oggetti KMS crittografati da bucket generici a bucket di directory, da bucket di directory a bucket generici o tra bucket di directory, tramite CopyObject, UploadPartCopy, il Copy operazione in Batch Operations, oppure import lavori. In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto KMS crittografato. -
Quando specifichi una chiave gestita AWS KMS dal cliente per la crittografia nel tuo bucket di directory, usa solo l'ID o la chiave della chiave. ARN Il formato dell'alias della KMS chiave non è supportato.
I bucket di directory non supportano la crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) chiavi (DSSE-) o la crittografia lato server con chiavi di crittografia fornite dal cliente (-CKMS). SSE
Crittografia in transito
I bucket API di directory utilizzano endpoint regionali e zonali. A seconda dell'APIoperazione di Amazon S3 utilizzata, è necessario un endpoint regionale o zonale. Puoi accedere agli endpoint zonali e regionali tramite un endpoint gateway virtual private cloud (). VPC L'utilizzo di endpoint gateway non comporta costi supplementari. Per ulteriori informazioni sugli endpoint regionali e zonaliAPI, consulta. Rete per bucket di directory
Eliminazione dei dati
Puoi eliminare uno o più oggetti direttamente dai tuoi bucket di directory utilizzando la console Amazon S3 AWS SDKs, AWS Command Line Interface ,AWS CLI() o Amazon S3. REST API Tutti gli oggetti nel bucket di directory sono soggetti a costi di archiviazione, pertanto è necessario eliminare gli oggetti non più necessari.
L'eliminazione di un oggetto archiviato in un bucket di directory elimina in modo ricorsivo anche tutte le directory padre, se queste non contengono oggetti diversi dall'oggetto che viene eliminato.
Nota
L'autenticazione a più fattori (MFA), l'eliminazione e il controllo delle versioni S3 non sono supportati per S3 Express One Zone.