View a markdown version of this page

Encryption (Crittografia) - Amazon Simple Storage Service
Crittografia dei dati a riposoPolitiche chiave di S3 Files per KMS AWSStati chiave e relativi effettiCrittografia dei dati in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Encryption (Crittografia)

S3 Files offre funzionalità di crittografia complete per proteggere i dati sia a riposo che in transito.

Crittografia dei dati a riposo

Il tuo bucket S3 è crittografato utilizzando i meccanismi di crittografia di Amazon S3. Per informazioni sulla crittografia dei dati in S3, consulta Protezione dei dati con la crittografia.

S3 Files crittografa i dati inattivi nel file system S3 utilizzando la crittografia lato server. La crittografia lato server è la crittografia dei dati nella posizione di destinazione eseguita dall'applicazione o dal servizio che li riceve. Nei file system S3, i dati e i metadati vengono crittografati per impostazione predefinita prima di essere scritti sullo storage e vengono decrittografati automaticamente durante la lettura. Questi processi sono gestiti in modo trasparente da S3 Files, quindi non è necessario modificare le applicazioni. Tutti i dati archiviati nel file system vengono crittografati utilizzando le AWS chiavi Key Management Service (KMS) utilizzando uno dei seguenti metodi:

  • (Impostazione predefinita) Crittografia lato server con chiavi KMS AWS proprietarie (SSE-KMS)

  • Crittografia lato server con chiavi KMS gestite dal cliente (SSE-KMS-CMK)

Sono previsti costi aggiuntivi per l'utilizzo delle chiavi KMS. AWS Per ulteriori informazioni, consulta i concetti chiave di AWS KMS nella AWS Key Management Service Developer Guide e i prezzi di AWS KMS.

Crittografia lato server con chiavi KMS AWS proprietarie (SSE-KMS)

Questa è la chiave predefinita per crittografare i dati inattivi nel file system S3. AWS le chiavi di proprietà sono una raccolta di chiavi KMS possedute e gestite da un AWS servizio. S3 Files possiede e gestisce la crittografia dei dati e dei metadati archiviati nel file system S3 quando si utilizza una chiave di proprietà. AWS Per maggiori dettagli sulle chiavi AWS di proprietà, visita AWS KMS keys.

Crittografia lato server con chiavi KMS gestite dal cliente ( AWS SSE-KMS-CMK)

Durante la creazione del file system, puoi scegliere di configurare una AWS chiave del servizio di gestione delle chiavi (KMS) da gestire.AWS Quando utilizzi la crittografia SSE-KMS con un file system S3, le chiavi AWS KMS devono trovarsi nella stessa regione del file system.

Politiche chiave di S3 Files per KMS AWS

Le policy delle chiavi sono il modo principale per controllare l'accesso alle chiavi gestite dai clienti. Per ulteriori informazioni sulle politiche chiave, consulta le politiche chiave in AWS KMS nella AWS Key Management Service Developer Guide. L'elenco seguente descrive tutte le autorizzazioni AWS relative a KMS supportate da S3 Files per la crittografia dei file system inattivi:

kms:Encrypt

(Facoltativo) Crittografa il testo semplice in testo cifrato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

kms:Decrypt

(Obbligatorio) Decripta il testo cifrato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

kms:ReEncrypt

(Facoltativo) Crittografa i dati sul lato server con una nuova chiave gestita dal cliente, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

kms:GenerateDataKeyWithoutPlaintext

(Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave gestita dal cliente. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in kms: GenerateDataKey *.

kms:CreateGrant

(Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. Per ulteriori informazioni sulle sovvenzioni, consulta Grants in AWS KMS nella AWS Key Management Service Developer Guide. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

kms:DescribeKey

(Obbligatorio) Fornisce informazioni dettagliate sulla chiave gestita dal cliente specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

kms:ListAliases

(Facoltativo) Elenca tutti gli alias chiave dell'account. Quando si utilizza la console per creare un file system crittografato, questa autorizzazione popola l'elenco Seleziona chiave KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

Stati chiave e relativi effetti

Lo stato della chiave KMS influisce direttamente sull'accesso al file system crittografato:

Abilitato

Funzionamento normale: accesso completo in lettura e scrittura al file system.

Disabilitato

Il file system diventa inaccessibile dopo qualche tempo. Può essere riattivato.

In attesa di eliminazione

Il file system diventa inaccessibile. L'eliminazione può essere annullata durante il periodo di attesa. Nota che dopo aver annullato l'eliminazione della chiave, la chiave deve essere spostata nello stato abilitato.

Eliminato

File system permanentemente inaccessibile. Questa azione non può essere annullata.

avvertimento

Se disabiliti o elimini la chiave KMS utilizzata per il tuo file system o revochi l'accesso di S3 Files alla chiave, il file system diventerà inaccessibile. Ciò può comportare la perdita di dati se non si dispone di backup. Assicurati sempre di disporre di procedure di backup adeguate prima di apportare modifiche alle chiavi di crittografia.

Crittografia dei dati in transito

S3 Files richiede la crittografia dei dati in transito utilizzando Transport Layer Security (TLS). Quando monti il file system utilizzando il mount helper, tutti i dati che viaggiano tra il client e il file system vengono crittografati tramite TLS. Il mount helper inizializza il processo efs-proxy per stabilire una connessione TLS sicura con il file system. Il mount helper crea anche un processo chiamato amazon-efs-mount-watchdog che monitora lo stato dei mount e viene avviato automaticamente la prima volta che viene montato un file system S3. Garantisce che il processo efs-proxy di ogni mount sia in esecuzione e arresta il processo quando il file system viene smontato. Se per qualche motivo il processo viene interrotto in modo imprevisto, il processo watchdog lo riavvia.

Di seguito viene descritto come funziona la crittografia TLS in transito:

  1. Viene stabilita una connessione TLS sicura tra il client e il file system

  2. Tutto il traffico NFS viene instradato attraverso questa connessione crittografata

  3. I dati vengono crittografati prima della trasmissione e decrittografati al momento della ricezione

La crittografia dei dati in transito modifica la configurazione del client NFS. Quando si ispezionano i tuoi file system montati, se ne vede uno montato all'indirizzo 127.0.0.1 o localhost, come nell'esempio seguente.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/s3files        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Il file system viene montato utilizzando il mount helper, che crittografa sempre i dati in transito utilizzando TLS. Pertanto, durante il montaggio, il client NFS viene riconfigurato per il montaggio su una porta locale.