Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3 - Amazon Simple Storage Service

Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3

Con la crittografia predefinita di Amazon S3, è possibile impostare il comportamento di crittografia predefinito per un bucket S3 in modo che tutti i nuovi oggetti vengano crittografati quando vengono memorizzati nel bucket. Gli oggetti vengono crittografati tramite la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) o AWS KMS keys archiviati in AWS Key Management Service (AWS KMS) (SSE-KMS).

Durante la configurazione del bucket per utilizzare la crittografia predefinita con SSE-KMS, è anche possibile abilitare chiavi bucket S3 per ridurre il traffico delle richieste da Amazon S3 a AWS Key Management Service (AWS KMS) e ridurre il costo della crittografia. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

Quando utilizzi la crittografia lato server, Amazon S3 esegue la crittografia di un oggetto prima di salvarlo su disco e lo decritta al momento del download. Per ulteriori informazioni sulla protezione dei dati mediante la crittografia e la gestione delle chiavi di crittografia lato server, consulta Protezione dei dati con la crittografia lato server.

Per maggiori informazioni sulle autorizzazioni richieste per la crittografia di default, consulta PutBucketEncryption nella Documentazione di riferimento delle API di Amazon Simple Storage Service.

Per impostare la crittografia predefinita su un bucket, è possibile utilizzare la console Amazon S3, AWS CLI, gli SDK AWS o REST API. Per ulteriori informazioni, consulta Abilitazione della crittografia predefinita per i bucket di Amazon S3.

Crittografia di oggetti esistenti

Per crittografare gli oggetti Amazon S3 esistenti, puoi utilizzare le operazioni in batch di Amazon S3. Fornisci alle operazioni in batch S3 un elenco di oggetti da utilizzare e le operazioni in batch chiamano la rispettiva API per eseguire l'operazione specifica. È possibile utilizzare l'operazione di copia delle operazioni in batch per copiare gli oggetti non crittografati esistenti e scrivere i nuovi oggetti crittografati nello stesso bucket. Un solo processo di operazioni in batch può eseguire l'operazione specificata su miliardi di oggetti. Per ulteriori informazioni, consulta Esecuzione di operazioni in batch su larga scala su oggetti Amazon S3 e il post del Blog sull'archiviazione di AWS Crittografia di oggetti Amazon S3 esistenti con le operazioni in batch di Amazon S3.

È inoltre possibile crittografare gli oggetti esistenti utilizzando l'API Copia oggetto. Per ulteriori informazioni, consulta il post del Blog sull'archiviazione di AWS Crittografia di oggetti Amazon S3 esistenti con AWS CLIl.

Nota

I bucket Amazon S3 con crittografia di default che utilizzano SSE-KMS non possono essere utilizzati come bucket di destinazione per Registrazione delle richieste con registrazione dell'accesso al server. Solo la crittografia predefinita SSE-S3 è supportata per i bucket di destinazione del log di accesso server.

Utilizzo della crittografia per operazioni tra più account

Quando si utilizza la crittografia per operazioni tra più account, tenere presente quanto segue:

  • La chiave gestita da AWS (aws/s3) viene utilizzata quando non viene fornito l'Amazon Resource Name (ARN) o un alias della AWS KMS key al momento della richiesta, né tramite la configurazione di crittografia predefinita del bucket.

  • Se stai caricando o accedendo agli oggetti S3 usando entità AWS Identity and Access Management (IAM) che si trovano nello stesso Account AWS della chiave KMS, puoi usare la chiave gestita da AWS (aws/s3).

  • Utilizza una chiave gestita dal cliente se desideri concedere l'accesso tra account agli oggetti S3. Puoi configurare la policy di una chiave gestita dal cliente per consentire l'accesso da un altro account.

  • Se specifichi una chiave KMS, devi utilizzare un ARN della chiave KMS completo. Quando utilizzi un alias della chiave KMS, tieni presente che AWS KMS risolverà la chiave all'interno dell'account del richiedente. Ciò potrebbe comportare la crittografia dei dati con una chiave KMS che appartiene al richiedente e non all'amministratore del bucket.

  • È necessario specificare una chiave per cui il richiedente ha ottenuto l'autorizzazione Encrypt. Per ulteriori informazioni, consulta Consente agli utenti della chiave di utilizzare una KMS per le operazioni di crittografia nella Guida per Developer di AWS Key Management Service.

Per ulteriori informazioni su quando utilizzare le chiavi gestite dal cliente e le chiavi KMS gestite da AWS, consulta Per crittografare gli oggetti su Amazon S3 devo utilizzare una chiave gestita da AWS o una chiave KMS gestita dal cliente?

Utilizzo della codifica predefinita con la replica

Una volta abilitata la crittografia predefinita per un bucket di destinazione della replica, si applica il seguente comportamento di crittografia:

  • Se gli oggetti nel bucket di origine non sono crittografati, gli oggetti replicati nel bucket di destinazione vengono crittografati in base alle impostazioni di crittografia predefinita del bucket di destinazione. Ciò fa sì che l'ETag dell'oggetto di origine sia diverso dall'ETag dell'oggetto replicato. È necessario aggiornare le applicazioni che utilizzano l'ETag per tenere conto di tale differenza.

  • Se gli oggetti nel bucket di origine sono crittografati tramite SSE-S3 o SSE-KMS, gli oggetti replicati nel bucket di destinazione utilizzano la stessa crittografia dell'oggetto di origine. Le impostazioni della crittografia predefinita del bucket di destinazione non vengono utilizzate.

Per ulteriori informazioni sull'utilizzo della crittografia di default con SSE-KMS, consulta Replica di oggetti crittografati (SSE-C, SSE-S3, SSE-KMS).

Utilizzo di chiavi bucket Amazon S3 con crittografia predefinita

Quando si configura il bucket per utilizzare la crittografia predefinita per SSE-KMS su nuovi oggetti, è anche possibile configurare le chiavi bucket S3. Le chiavi bucket S3 riducono il numero di transazioni da Amazon S3 a AWS KMS per ridurre il costo della crittografia lato server utilizzando AWS Key Management Service (SSE-KMS).

Quando si configura il bucket per utilizzare le chiavi bucket S3 per SSE-KMS su nuovi oggetti, AWS KMS genera una chiave a livello di bucket che viene utilizzata per creare una chiave dati univoca per gli oggetti nel bucket. Questa chiave bucket viene utilizzata per un periodo di tempo limitato all'interno di Amazon S3, riducendo la necessità per Amazon S3 di effettuare richieste a AWS KMS per completare le operazioni di crittografia.

Per ulteriori informazioni sull'utilizzo di una chiave bucket S3, consulta Utilizzo di chiavi bucket Amazon S3.