Configurazione della crittografia predefinita

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva negli SDK and. AWS Command Line Interface AWS Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.

I bucket Amazon S3 hanno la crittografia dei bucket abilitata per impostazione predefinita; i nuovi oggetti vengono crittografati automaticamente utilizzando la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Questa crittografia si applica a tutti i nuovi oggetti nei bucket Amazon S3 e non comporta costi aggiuntivi.

Se hai bisogno di un maggiore controllo sulle chiavi di crittografia, come la gestione della rotazione delle chiavi e le concessioni delle policy di accesso, puoi scegliere di utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) o la crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS). Per ulteriori informazioni su SSE-KMS, consulta Specifica della crittografia lato server con AWS KMS (SSE-KMS). Per ulteriori informazioni su DSSE-KMS, consulta Utilizzo della crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS).

Se desideri utilizzare una chiave KMS di proprietà di un account diverso, devi avere l'autorizzazione necessaria per l'uso della chiave. Per ulteriori informazioni sulle autorizzazioni tra account per le chiavi KMS, vedi Creazione di chiavi KMS utilizzabili da altri account nella Guida per gli sviluppatori di AWS Key Management Service .

Quando imposti la crittografia dei bucket predefinita su SSE-KMS, puoi anche configurare una S3 Bucket Key per ridurre i costi delle richieste. AWS KMS Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

Nota

Se utilizzi PutBucketEncryptionla crittografia dei bucket predefinita su SSE-KMS, devi verificare che l'ID della tua chiave KMS sia corretto. Amazon S3 non convalida l'ID della chiave KMS fornito nelle richieste. PutBucketEncryption

L'uso della crittografia predefinita dei bucket S3 non comporta costi aggiuntivi. Per le richieste di configurare la funzione di crittografia predefinita vengono applicati i costi standard per le richieste Amazon S3. Per informazioni sui prezzi, consulta Prezzi di Amazon S3. Per SSE-KMS e DSSE-KMS, vengono applicati dei costi indicati nella tabella dei prezzi. AWS KMSAWS KMS

La crittografia lato server con chiavi di crittografia fornite dal cliente (SSE-C) è supportata per la crittografia predefinita.

Puoi configurare la crittografia predefinita di Amazon S3 per un bucket S3 utilizzando la console Amazon S3, gli SDK AWS , l'API REST di Amazon S3 e (). AWS Command Line Interface AWS CLI

Modifiche alla nota prima dell'abilitazione della crittografia predefinita

Una volta abilitata la crittografia predefinita di un bucket, si applica il seguente comportamento di crittografia:

• Non avvengono modifiche della crittografia degli oggetti che esisteva nel bucket prima che la crittografia predefinita venisse abilitata.

• Quando si effettua il caricamento di oggetti dopo l'abilitazione della crittografia predefinita:

  • Se le intestazioni della richiesta PUT non includono le informazioni di crittografia, Amazon S3 utilizza le impostazioni di crittografia di default del bucket per eseguire la crittografia degli oggetti.

  • Se le intestazioni della richiesta PUT includono le informazioni di crittografia, Amazon S3 utilizza le informazioni di crittografia della richiesta PUT per eseguire la crittografia degli oggetti prima di archiviarli in Amazon S3.

• Se usi l'opzione SSE-KMS o DSSE-KMS per la configurazione della crittografia predefinita, vengono applicati i limiti di richieste al secondo (RPS) di AWS KMS. Per ulteriori informazioni sulle quote AWS KMS e su come richiedere un aumento delle quote, consulta Quote nella Guida per gli sviluppatori di AWS Key Management Service .

Nota

Gli oggetti caricati prima dell'abilitazione della crittografia predefinita non verranno crittografati. Per ulteriori informazioni sulla crittografia di oggetti, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

Utilizzo della console S3

Per configurare la crittografia predefinita per un bucket Amazon S3

1. Accedi AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).

3. Nell'elenco Bucket scegli il nome del bucket desiderato.

4. Scegliere la scheda Properties (Proprietà).

5. In Default encryption (Crittografia di default), scegliere Edit (Modifica).

6. Per configurare la crittografia, in Tipo di crittografia scegli una delle seguenti opzioni:

   • Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)

   • Crittografia lato server con AWS Key Management Service chiavi (SSE-KMS)

   • Crittografia lato server a doppio livello con chiavi (DSSE-KMS) AWS Key Management Service

     Importante

     Se usi l'opzione SSE-KMS o DSSE-KMS per la configurazione della crittografia predefinita, vengono applicati i limiti di richieste al secondo (RPS) di AWS KMS. Per ulteriori informazioni sulle AWS KMS quote e su come richiedere un aumento delle quote, consulta Quotas nella Developer Guide.AWS Key Management Service

   I bucket e i nuovi oggetti sono crittografati per impostazione predefinita con SSE-S3, a meno che non specifichi un altro tipo di crittografia predefinita per i bucket. Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

   Per ulteriori informazioni sull'utilizzo della crittografia lato server di Amazon S3 per crittografare i dati, consulta Uso della crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).

7. Se hai scelto la crittografia lato server con AWS Key Management Service chiavi (SSE-KMS) o la crittografia lato server a doppio livello con chiavi (DSSE-KMS), procedi come segue: AWS Key Management Service

   1. In Chiave AWS KMS specifica la tua chiave KMS in uno dei seguenti modi:

      • Per scegliere da un elenco di chiavi KMS disponibili, scegli tra le tue chiavi KMS e scegli la tua AWS KMS keys chiave KMS dall'elenco delle chiavi disponibili.

        In questo elenco vengono visualizzate sia la chiave Chiave gestita da AWS (aws/s3) che quella gestita dai clienti. Per ulteriori informazioni sulle chiavi gestite dai clienti, consulta Customer keys and AWS keys nella AWS Key Management Service Developer Guide.

      • Per specificare l'ARN della chiave KMS, scegli Inserisci l'ARN della AWS KMS key e quindi specifica l'ARN della chiave KMS nel campo visualizzato.

      • Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli Crea una chiave KMS.

        Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta Creating keys nella AWS Key Management Service Developer Guide.

      Importante

      Puoi usare solo chiavi KMS abilitate nello Regione AWS stesso bucket. Quando scegli Choose from your KMS keys (Scegli tra le chiavi KMS), la console S3 elenca solo 100 chiavi KMS per regione. Se hai più di 100 chiavi KMS nella stessa regione, puoi vedere solo le prime 100 chiavi KMS nella console S3. Per utilizzare una chiave KMS non elencata nella console, seleziona Inserisci l'ARN AWS KMS key e specifica l'ARN della chiave KMS.

      Quando utilizzi una chiave KMS AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Amazon S3 supporta solo chiavi KMS di crittografia simmetrica. Per ulteriori informazioni sulle chiavi, consulta Chiavi KMS di crittografia simmetrica nella Guida per gli sviluppatori di AWS Key Management Service .

      Per ulteriori informazioni sull'uso di SSE-KMS con Amazon S3, consulta Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS. Per ulteriori informazioni sull'uso di DSSE-KMS, consulta Utilizzo della crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS).

   2. Quando si configura il bucket per utilizzare la crittografia predefinita con SSE-KMS, è anche possibile abilitare le chiavi bucket S3. S3 Bucket Keys riduce il costo della crittografia diminuendo il traffico di richieste da Amazon S3 a. AWS KMS Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

      Per utilizzare le chiavi bucket S3, in Chiave bucket seleziona Abilita.

      Nota

      Le chiavi bucket S3 non sono supportate per DSSE-KMS.

8. Seleziona Salvataggio delle modifiche.

Usando il AWS CLI

Questi esempi mostrano come configurare la crittografia predefinita utilizzando la crittografia gestita da Amazon S3 (SSE-S3) o la crittografia SSE-KMS con una chiave bucket S3.

Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. Per ulteriori informazioni sull'utilizzo della AWS CLI configurazione della crittografia predefinita, vedere put-bucket-encryption.

Esempio - Crittografia predefinita con SSE-S3

In questo esempio viene configurata la crittografia predefinita dei bucket con le chiavi gestite da Amazon S3.

aws s3api put-bucket-encryption --bucket DOC-EXAMPLE-BUCKET --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'

Esempio - Crittografia predefinita con SSE-KMS utilizzando una chiave bucket S3

In questo esempio viene configurata la crittografia predefinita del bucket con SSE-KMS utilizzando una chiave bucket S3.

aws s3api put-bucket-encryption --bucket DOC-EXAMPLE-BUCKET --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilizzo di REST API

Usa l'operazione REST API PutBucketEncryption per abilitare la crittografia predefinita e impostare il tipo di crittografia lato server da utilizzare: SSE-S3, SSE-KMS o DSSE-KMS.

Per ulteriori informazioni, consulta PutBucketEncryption in Amazon Simple Storage Service API Reference (Guida di riferimento per l'API di Amazon Simple Storage Service).