Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) - Amazon Simple Storage Service

Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3)

La crittografia lato server protegge i dati inattivi. Amazon S3 crittografa ogni oggetto con una chiave univoca. Come ulteriore tutela, crittografa la chiave con una chiave che ruota con regolarità. La crittografia lato server di Amazon S3 utilizza per crittografare i tuoi dati uno dei sistemi di crittografia dei dati a blocchi più avanzati al mondo, l'Advanced Encryption Standard a 256 bit (AES-256).

Non sono previsti costi aggiuntivi per l'utilizzo della crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3). Tuttavia, per le richieste di configurare la funzione di crittografia predefinita vengono applicati i costi delle richieste Amazon S3 standard. Per informazioni sui prezzi, consulta Prezzi di Amazon S3.

Se hai bisogno di utilizzare la crittografia lato server per tutti gli oggetti archiviati nel bucket, utilizza una policy del bucket. Ad esempio, la seguente policy del bucket rifiuta le autorizzazioni al caricamento di un oggetto a meno che la richiesta non includa l'intestazione x-amz-server-side-encryption per richiedere la codifica lato server:

{ "Version": "2012-10-17", "Id": "PutObjectPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } } ] }
Nota
  • La crittografia lato server viene applicata solo ai dati dell'oggetto, non dei metadati dell'oggetto.

Supporto API per la crittografia lato server

Per richiedere la crittografia lato server utilizzando le REST API della creazione dell'oggetto, fornisci l'intestazione della richiesta x-amz-server-side-encryption. Per ulteriori informazioni sulle APIs REST, consulta Utilizzo di REST API.

Le seguenti API Amazon S3 supportano questa intestazione:

  • Operazioni PUT - Specifica l'intestazione della richiesta quando si caricano i dati utilizzando l'API PUT. Per ulteriori informazioni, consulta PUT Object.

  • Initiate Multipart Upload – Specifica l'intestazione nella richiesta di avvio quando si caricano oggetti di grandi dimensioni utilizzando l'API per il caricamento in più parti. Per ulteriori informazioni, consulta Initiate Multipart Upload.

  • Operazione COPY - L'operazione di copia di un oggetto coinvolge un oggetto di origine e un oggetto di destinazione. Per ulteriori informazioni, consulta PUT Object - Copy.

Nota

Operazione POST - Quando si utilizza un'operazione POST per caricare un oggetto anziché l'intestazione della richiesta, si specificano le stesse informazioni nei campi del modulo. Per ulteriori informazioni, consulta POST Object.

Gli SDK AWS forniscono anche le API wrapper che consentono di richiedere la crittografia lato server. È anche possibile utilizzare la AWS Management Console per caricare gli oggetti e richiedere la crittografia lato server.