Crittografia lato client di Amazon S3 con la versione 3 AWS SDK for PHP - AWS SDK for PHP
Guida alla migrazioneInstallazioneCrittografiaDecrittografiaConfigurazione di CipherStrategie relative ai metadatiCaricamenti in più parti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia lato client di Amazon S3 con la versione 3 AWS SDK for PHP

Con la crittografia lato client, i dati vengono crittografati e decrittografati direttamente nel tuo ambiente. Ciò significa che questi dati vengono crittografati prima di essere trasferiti su Amazon S3 e non ti affidi a un servizio esterno per gestire la crittografia per te. Per le nuove implementazioni, suggeriamo di utilizzare S3EncryptionClientV2 e sostituire la versione S3EncryptionMultipartUploaderV2 obsoleta e. S3EncryptionClient S3EncryptionMultipartUploader Si raccomanda che le implementazioni precedenti che utilizzano ancora le versioni obsolete tentino di migrare. S3EncryptionClientV2mantiene il supporto per la decrittografia dei dati crittografati utilizzando la versione precedente. S3EncryptionClient

L'AWS SDK for PHP implementa la crittografia a busta e usa OpenSSL per crittografare e decrittografare. L'implementazione è in grado di interagire con altri SDK che hanno lo stesso supporto di caratteristiche. Inoltre, è compatibile con il flusso di lavoro asincrono basato su promessa dell'SDK.

Guida alla migrazione

Per coloro che stanno cercando di migrare dai client obsoleti ai nuovi client, è disponibile una guida alla migrazione che può essere trovata qui.

Installazione

Per iniziare a utilizzare la crittografia lato client, è necessario:

Prima di eseguire qualsiasi codice di esempio, configura le tue AWS credenziali. Vedi Credenziali per la AWS SDK for PHP versione 3.

Crittografia

Il caricamento di un oggetto crittografato S3EncryptionClientV2 richiede tre parametri aggiuntivi oltre ai parametri standardPutObject:

  • '@KmsEncryptionContext'è una coppia chiave-valore che può essere utilizzata per aggiungere un ulteriore livello di sicurezza all'oggetto crittografato. Il client di crittografia deve inserire la stessa chiave, operazione che eseguirà automaticamente durante una chiamata get. Se non si desidera alcun contesto aggiuntivo, passate un array vuoto.

  • @CipherOptionssono configurazioni aggiuntive per la crittografia, tra cui il codice da utilizzare e la dimensione della chiave.

  • @MaterialsProviderè un provider che gestisce la generazione di una chiave di cifratura e di un vettore di inizializzazione, nonché la crittografia della chiave di cifratura.

use Aws\S3\S3Client;
use Aws\S3\Crypto\S3EncryptionClientV2;
use Aws\Kms\KmsClient;
use Aws\Crypto\KmsMaterialsProviderV2;

 // Let's construct our S3EncryptionClient using an S3Client
 $encryptionClient = new S3EncryptionClientV2(
     new S3Client([
         'profile' => 'default',
         'region' => 'us-east-1',
         'version' => 'latest',
     ])
 );

 $kmsKeyId = 'kms-key-id';
 $materialsProvider = new KmsMaterialsProviderV2(
     new KmsClient([
         'profile' => 'default',
         'region' => 'us-east-1',
         'version' => 'latest',
     ]),
     $kmsKeyId
 );

 $bucket = 'the-bucket-name';
 $key = 'the-file-name';
 $cipherOptions = [
     'Cipher' => 'gcm',
     'KeySize' => 256,
     // Additional configuration options
 ];

 $result = $encryptionClient->putObject([
     '@MaterialsProvider' => $materialsProvider,
     '@CipherOptions' => $cipherOptions,
     '@KmsEncryptionContext' => ['context-key' => 'context-value'],
     'Bucket' => $bucket,
     'Key' => $key,
     'Body' => fopen('file-to-encrypt.txt', 'r'),
 ]);
Nota

Oltre agli errori di Amazon S3 e dei servizi AWS KMS basati su Amazon, potresti ricevere InvalidArgumentException oggetti generati se non '@CipherOptions' sei configurato correttamente.

Decrittografia

Il download e la decrittografia di un oggetto hanno quattro parametri aggiuntivi, due dei quali obbligatori, oltre ai parametri standard. GetObject Il client rileverà automaticamente le opzioni di crittografia di base.

  • '@SecurityProfile': Se impostato su 'V2', solo gli oggetti crittografati in versione compatibile con V2

    il formato può essere decifrato. L'impostazione di questo parametro su 'V2_AND_LEGACY' consente inoltre di decrittografare gli oggetti crittografati in un formato compatibile con V1. Per supportare la migrazione, imposta @ su 'V2_AND_LEGACY'. SecurityProfile Usa 'V2' solo per lo sviluppo di nuove applicazioni.

  • '@MaterialsProvider'è un provider che gestisce la generazione di una chiave di cifratura e di un vettore di inizializzazione, come

    oltre a crittografare la chiave di cifratura.

  • '@KmsAllowDecryptWithAnyCmk': (opzionale) L'impostazione di questo parametro su true abilita la decrittografia

    senza fornire un id di chiave KMS al costruttore di. MaterialsProvider Il valore predefinito è false.

  • '@CipherOptions'(opzionale) sono configurazioni aggiuntive per la crittografia, tra cui

    cifrario da usare e dimensione della chiave.

$result = $encryptionClient->getObject([
    '@KmsAllowDecryptWithAnyCmk' => true,
    '@SecurityProfile' => 'V2_AND_LEGACY',
    '@MaterialsProvider' => $materialsProvider,
    '@CipherOptions' => $cipherOptions,
    'Bucket' => $bucket,
    'Key' => $key,
]);
Nota

Oltre agli errori di Amazon S3 e dei servizi AWS KMS basati su Amazon, potresti ricevere InvalidArgumentException oggetti generati se non '@CipherOptions' sei configurato correttamente.

Configurazione di Cipher

'Cipher' (Stringa)

Modalità di cifratura che il client di crittografia utilizza durante la crittografia. Al momento è supportato solo 'gcm'.

Importante

PHP è aggiornato nella versione 7.1 per includere i parametri aggiuntivi necessari per crittografare e decrittografare l'utilizzo di OpenSSL per la crittografia GCM. Per le versioni PHP 7.0 e precedenti, un polyfill per il supporto GCM viene fornito e utilizzato dai client di crittografia e. S3EncryptionClientV2 S3EncryptionMultipartUploaderV2 Tuttavia, le prestazioni per input di grandi dimensioni saranno molto più lente utilizzando il polyfill rispetto all'implementazione nativa per PHP 7.1+, quindi potrebbe essere necessario aggiornare gli ambienti con versioni PHP precedenti per utilizzarli in modo efficace.

'KeySize' (int)

La durata della chiave di crittografia del contenuto da generare per la crittografia. Il valore di default è 256 bit. Le opzioni di configurazione valide sono 256 e 128 bit.

'Aad' (Stringa)

"Dati di autenticazione aggiuntivi" facoltativi da includere con il tuo payload crittografato. Queste informazioni sono convalidate per la decrittografia. Aad è disponibile solo quando si usa la cifratura "gcm".

Importante

I dati di autenticazione aggiuntivi non sono supportati da tutti gli AWS SDK e pertanto altri SDK potrebbero non essere in grado di decrittografare i file crittografati utilizzando questo parametro.

Strategie relative ai metadati

Puoi anche fornire un'istanza di una classe che implementa Aws\Crypto\MetadataStrategyInterface. Questa semplice interfaccia gestisce il salvataggio e il caricamento di Aws\Crypto\MetadataEnvelope che contiene i materiali per la crittografia della busta. L'SDK fornisce due classi che implementano questo: Aws\S3\Crypto\HeadersMetadataStrategy e Aws\S3\Crypto\InstructionFileMetadataStrategy. HeadersMetadataStrategy viene utilizzato per impostazione predefinita.

$strategy = new InstructionFileMetadataStrategy(
    $s3Client
);

$encryptionClient->putObject([
    '@MaterialsProvider' => $materialsProvider,
    '@MetadataStrategy' => $strategy,
    '@KmsEncryptionContext' => [],
    '@CipherOptions' => $cipherOptions,
    'Bucket' => $bucket,
    'Key' => $key,
    'Body' => fopen('file-to-encrypt.txt', 'r'),
]);

$result = $encryptionClient->getObject([
    '@KmsAllowDecryptWithAnyCmk' => false,
    '@MaterialsProvider' => $materialsProvider,
    '@SecurityProfile' => 'V2',
    '@MetadataStrategy' => $strategy,
    '@CipherOptions' => $cipherOptions,
    'Bucket' => $bucket,
    'Key' => $key,
]);

Le costanti per il nome della classe HeadersMetadataStrategy e InstructionFileMetadataStrategy possono anche essere fornite chiamando ::class.

$result = $encryptionClient->putObject([
    '@MaterialsProvider' => $materialsProvider,
    '@MetadataStrategy' => HeadersMetadataStrategy::class,
    '@CipherOptions' => $cipherOptions,
    'Bucket' => $bucket,
    'Key' => $key,
    'Body' => fopen('file-to-encrypt.txt', 'r'),
]);
Nota

Se si verifica un errore dopo che un file di istruzioni è stato caricato, non verrà automaticamente eliminato.

Caricamenti in più parti

Anche l'esecuzione di un caricamento in più parti con crittografia lato client è possibile. Aws\S3\Crypto\S3EncryptionMultipartUploaderV2Prepara il flusso sorgente per la crittografia prima del caricamento. La creazione di uno è simile a utilizzare Aws\S3\MultipartUploader e Aws\S3\Crypto\S3EncryptionClientV2. S3EncryptionMultipartUploaderV2 può gestire la stessa opzione '@MetadataStrategy' come S3EncryptionClientV2, oltre a tutte le configurazioni '@CipherOptions' disponibili.

$kmsKeyId = 'kms-key-id';
$materialsProvider = new KmsMaterialsProviderV2(
    new KmsClient([
        'region' => 'us-east-1',
        'version' => 'latest',
        'profile' => 'default',
    ]),
    $kmsKeyId
);

$bucket = 'the-bucket-name';
$key = 'the-upload-key';
$cipherOptions = [
    'Cipher' => 'gcm'
    'KeySize' => 256,
    // Additional configuration options
];

$multipartUploader = new S3EncryptionMultipartUploaderV2(
    new S3Client([
        'region' => 'us-east-1',
        'version' => 'latest',
        'profile' => 'default',
    ]),
    fopen('large-file-to-encrypt.txt', 'r'),
    [
        '@MaterialsProvider' => $materialsProvider,
        '@CipherOptions' => $cipherOptions,
        'bucket' => $bucket,
        'key' => $key,
    ]
);
$multipartUploader->upload();
Nota

Oltre agli errori di Amazon S3 e dei servizi AWS KMS basati su Amazon, potresti ricevere InvalidArgumentException oggetti generati se non '@CipherOptions' sei configurato correttamente.