Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo della crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE
Importante
Amazon S3 ora applica la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta Amazon S3 aggiuntiva nella finestra e. API AWS Command Line Interface AWS SDKs Per ulteriori informazioni, consulta Crittografia FAQ predefinita.
Tutti i nuovi caricamenti di oggetti sui bucket Amazon S3 sono crittografati per impostazione predefinita con crittografia lato server con chiavi gestite di Amazon S3 (-S3). SSE
La crittografia lato server protegge i dati inattivi. Amazon S3 crittografa ogni oggetto con una chiave univoca. Come ulteriore tutela, crittografa la chiave con una chiave che ruota con regolarità. La crittografia lato server di Amazon S3 utilizza Advanced Encryption Standard Galois/Counter Mode (-) a 256 bit per crittografare tutti gli oggetti caricati. AES GCM
Non sono previsti costi aggiuntivi per l'utilizzo della crittografia lato server con le chiavi SSE gestite di Amazon S3 (-S3). Tuttavia, per le richieste di configurare la funzione di crittografia predefinita vengono applicati i costi delle richieste Amazon S3 standard. Per informazioni sui prezzi, consulta Prezzi di Amazon S3
Se desideri che i tuoi caricamenti di dati siano crittografati utilizzando solo le chiavi gestite da Amazon S3, puoi utilizzare la seguente policy dei bucket. Ad esempio, la seguente policy del bucket rifiuta le autorizzazioni al caricamento di un oggetto a meno che la richiesta non includa l'intestazione x-amz-server-side-encryption
per richiedere la codifica lato server:
{ "Version": "2012-10-17", "Id": "PutObjectPolicy", "Statement": [ { "Sid": "DenyObjectsThatAreNotSSES3", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } } ] }
Nota
La crittografia lato server viene applicata solo ai dati dell'oggetto, non dei metadati dell'oggetto.
APIsupporto per la crittografia lato server
Tutti i bucket Amazon S3 hanno la crittografia configurata per impostazione predefinita e tutti i nuovi oggetti caricati in un bucket S3 vengono automaticamente crittografati quando sono a riposo. La crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3) è la configurazione di crittografia predefinita per ogni bucket in Amazon S3. Per utilizzare un diverso tipo di crittografia, puoi specificare il tipo di crittografia lato server da utilizzare nelle richieste PUT
S3 oppure impostare la configurazione di crittografia predefinita nel bucket di destinazione.
Se desideri specificare un tipo di crittografia diverso nelle tue PUT
richieste, puoi utilizzare la crittografia lato server con
AWS Key Management Service (AWS KMS) chiavi (-), la crittografia lato server a doppio livello con chiavi (SSE-KMS) o la crittografia lato server con AWS KMS chiavi fornite dal cliente (DSSE-C). KMS SSE Se desideri impostare una configurazione di crittografia predefinita diversa nel bucket di destinazione, puoi usare - o -. SSE KMS DSSE KMS
Per configurare la crittografia lato server utilizzando la creazione dell'oggetto RESTAPIs, è necessario fornire l'intestazione della x-amz-server-side-encryption
richiesta. Per informazioni su, vedere. REST APIs Utilizzando il REST API
I seguenti Amazon S3 APIs supportano questa intestazione:
-
PUToperazioni: specifica l'intestazione della richiesta durante il caricamento dei dati utilizzando.
PUT
API Per ulteriori informazioni, vedete PUT Object. -
Avvia caricamento multiparte: specifica l'intestazione nella richiesta di avvio quando si caricano oggetti di grandi dimensioni utilizzando l'operazione di caricamento in più parti. API Per ulteriori informazioni, consulta Initiate Multipart Upload.
-
COPYoperazioni — Quando copiate un oggetto, avete sia un oggetto di origine che un oggetto di destinazione. Per ulteriori informazioni, vedete PUTObject - Copy.
Nota
Quando si utilizza un'operazione POST
per caricare un oggetto anziché l'intestazione della richiesta, si specificano le stesse informazioni nei campi del modulo. Per ulteriori informazioni, vedere POSTObject.
Forniscono AWS SDKs anche un wrapper APIs che puoi usare per richiedere la crittografia lato server. È inoltre possibile utilizzare il AWS Management Console per caricare oggetti e richiedere la crittografia lato server.
Per ulteriori informazioni generali, consulta Concetti di AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .