View a markdown version of this page

Configurazione della crittografia predefinita - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della crittografia predefinita

Importante

Amazon S3 ora applica la crittografia lato server con le chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva negli SDK and. AWS CLI AWS Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.

I bucket Amazon S3 hanno la crittografia dei bucket abilitata per impostazione predefinita e i nuovi oggetti vengono crittografati automaticamente utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (). SSE-S3 Questa crittografia si applica a tutti i nuovi oggetti nei bucket Amazon S3 e non comporta costi aggiuntivi.

Se hai bisogno di un maggiore controllo sulle chiavi di crittografia, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi scegliere di utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) keys () o la crittografia lato server a doppio livello con keys (SSE-KMS). AWS KMS DSSE-KMS SSE-KMSPer ulteriori Specificare la crittografia lato server con AWS KMS (SSE-KMS) informazioni su, consulta. Per ulteriori informazioni su DSSE-KMS, vedereUtilizzo della crittografia lato server a doppio livello con AWS KMS chiavi DSSE-KMS ().

Se desideri utilizzare una chiave KMS di proprietà di un account diverso, devi avere l'autorizzazione necessaria per l'uso della chiave. Per ulteriori informazioni sulle autorizzazioni tra account per le chiavi KMS, vedi Creazione di chiavi KMS utilizzabili da altri account nella Guida per gli sviluppatori di AWS Key Management Service .

Quando imposti la crittografia dei bucket predefinita su SSE-KMS, puoi anche configurare una chiave S3 Bucket per ridurre i AWS KMS costi delle richieste. Per ulteriori informazioni, consulta Riduzione dei costi SSE-KMS con Amazon S3 Bucket Keys.

Nota

Se utilizzi PutBucketEncryptionla crittografia bucket predefinita su SSE-KMS, devi verificare che l'ID della tua chiave KMS sia corretto. Amazon S3 non convalida l'ID della chiave KMS fornito nelle richieste. PutBucketEncryption

L'uso della crittografia predefinita dei bucket S3 non comporta costi aggiuntivi. Per le richieste di configurare la funzione di crittografia predefinita vengono applicati i costi standard per le richieste Amazon S3. Per informazioni sui prezzi, consulta Prezzi di Amazon S3. Per SSE-KMS e DSSE-KMS, si applicano AWS KMS costi che sono elencati nella tabella dei prezzi.AWS KMS

Server-side la crittografia con chiavi fornite dal cliente (SSE-C) non è supportata per la crittografia predefinita.

Puoi configurare la crittografia predefinita di Amazon S3 per un bucket S3 utilizzando la console Amazon S3, gli SDK AWS , l'API REST di Amazon S3 e (). AWS Command Line Interface AWS CLI

Modifiche alla nota prima dell'abilitazione della crittografia predefinita

Una volta abilitata la crittografia predefinita di un bucket, si applica il seguente comportamento di crittografia:

  • Non avvengono modifiche della crittografia degli oggetti che esisteva nel bucket prima che la crittografia predefinita venisse abilitata.

  • Quando si effettua il caricamento di oggetti dopo l'abilitazione della crittografia predefinita:

    • Se le intestazioni della richiesta PUT non includono le informazioni di crittografia, Amazon S3 utilizza le impostazioni di crittografia di default del bucket per eseguire la crittografia degli oggetti.

    • Se le intestazioni della richiesta PUT includono le informazioni di crittografia, Amazon S3 utilizza le informazioni di crittografia della richiesta PUT per eseguire la crittografia degli oggetti prima di archiviarli in Amazon S3.

  • Se utilizzi l' DSSE-KMS opzione SSE-KMS o per la configurazione di crittografia predefinita, sei soggetto alle quote di richieste al secondo (RPS) di. AWS KMS Per ulteriori informazioni sulle quote AWS KMS e su come richiedere un aumento delle quote, consulta Quote nella Guida per gli sviluppatori di AWS Key Management Service .

  • Se questo bucket viene utilizzato come destinazione per la registrazione degli accessi al server, il bucket di destinazione deve utilizzare le chiavi gestite di Amazon S3 (). SSE-S3 Se il bucket di destinazione utilizza la crittografia SSE-KMS predefinita, Amazon S3 potrebbe fornire oggetti di registro crittografati con una chiave a cui non puoi accedere. Per risolvere questo problema, modifica la crittografia predefinita del bucket di destinazione in. SSE-S3 Per ulteriori informazioni sulla registrazione degli accessi al server, consulta Registrazione delle richieste con registrazione dell'accesso al server.

Nota

Gli oggetti caricati prima dell'abilitazione della crittografia predefinita non verranno crittografati. Per ulteriori informazioni sulla crittografia di oggetti, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

Per configurare la crittografia predefinita per un bucket Amazon S3

  1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).

  3. Nell'elenco Bucket scegli il nome del bucket desiderato.

  4. Scegliere la scheda Properties (Proprietà).

  5. In Default encryption (Crittografia di default), scegliere Edit (Modifica).

  6. Per configurare la crittografia, in Tipo di crittografia scegli una delle seguenti opzioni:

    • Server-side crittografia con chiavi gestite Amazon S3 () SSE-S3

    • Server-side crittografia con AWS Key Management Service chiavi () SSE-KMS

    • Dual-layer crittografia lato server con AWS Key Management Service chiavi () DSSE-KMS

      Importante

      Se si utilizzano le DSSE-KMS opzioni SSE-KMS o per la configurazione di crittografia predefinita, si è soggetti alle quote di richieste al secondo (RPS) di. AWS KMSPer ulteriori informazioni sulle AWS KMS quote e su come richiedere un aumento delle quote, consulta Quotas nella Developer Guide.AWS Key Management Service

    I bucket e i nuovi oggetti vengono crittografati per impostazione predefinita con SSE-S3, a meno che non si specifichi un altro tipo di crittografia predefinita per i bucket. Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

    Per ulteriori informazioni sull'utilizzo della crittografia lato server di Amazon S3 per crittografare i dati, consulta Utilizzo della crittografia lato server con chiavi gestite di Amazon S3 () SSE-S3.

  7. Se hai scelto Server-side la crittografia con AWS Key Management Service chiavi (SSE-KMS) o la crittografia Dual-layer lato server con AWS Key Management Service chiavi (DSSE-KMS), procedi come segue:

    1. In Chiave AWS KMS specifica la tua chiave KMS in uno dei seguenti modi:

      • Per scegliere da un elenco di chiavi KMS disponibili, scegli tra le tue AWS KMS keys chiavi KMS e scegli la tua chiave KMS dall'elenco delle chiavi disponibili.

        In questo elenco vengono visualizzate sia la chiave Chiave gestita da AWS (aws/s3) che quella gestita dai clienti. Per ulteriori informazioni sulle chiavi gestite dai clienti, consulta Customer keys and AWS keys nella AWS Key Management Service Developer Guide.

      • Per specificare l'ARN della chiave KMS, scegli Inserisci l'ARN della AWS KMS key e quindi specifica l'ARN della chiave KMS nel campo visualizzato.

      • Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli Crea una chiave KMS.

        Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta Creating keys nella AWS Key Management Service Developer Guide.

      Importante

      Puoi usare solo chiavi KMS abilitate nello Regione AWS stesso bucket. Quando scegli Choose from your KMS keys (Scegli tra le chiavi KMS), la console S3 elenca solo 100 chiavi KMS per regione. Se hai più di 100 chiavi KMS nella stessa regione, puoi vedere solo le prime 100 chiavi KMS nella console S3. Per utilizzare una chiave KMS non elencata nella console, seleziona Inserisci l'ARN AWS KMS key e specifica l'ARN della chiave KMS.

      Quando utilizzi una AWS KMS key crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Amazon S3 supporta solo chiavi KMS di crittografia simmetrica. Per ulteriori informazioni sulle chiavi, consulta Chiavi KMS di crittografia simmetrica nella Guida per gli sviluppatori di AWS Key Management Service .

      Per ulteriori informazioni sull'utilizzo SSE-KMS con Amazon S3, consulta. Utilizzo della crittografia lato server con AWS KMS chiavi () SSE-KMS Per ulteriori informazioni sull'utilizzo DSSE-KMS, consultaUtilizzo della crittografia lato server a doppio livello con AWS KMS chiavi DSSE-KMS ().

    2. Quando configuri il bucket per utilizzare la crittografia predefinita SSE-KMS, puoi anche abilitare una S3 Bucket Key. S3 Bucket Keys riduce il costo della crittografia diminuendo il traffico di richieste da Amazon S3 a. AWS KMS Per ulteriori informazioni, consulta Riduzione dei costi SSE-KMS con Amazon S3 Bucket Keys.

      Per utilizzare le chiavi bucket S3, in Chiave bucket seleziona Abilita.

      Nota

      Le S3 Bucket Keys non sono supportate per. DSSE-KMS

  8. Scegli Save changes (Salva modifiche).

Questi esempi mostrano come configurare la crittografia predefinita utilizzando SSE-S3 o utilizzando una S3 SSE-KMS Bucket Key.

Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. Per ulteriori informazioni sull'utilizzo della crittografia predefinita AWS CLI per configurare la crittografia predefinita, consulta put-bucket-encryption.

Esempio— Crittografia predefinita con SSE-S3

In questo esempio viene configurata la crittografia predefinita dei bucket con le chiavi gestite da Amazon S3.

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'
Esempio— Crittografia predefinita con SSE-KMS l'utilizzo di una chiave S3 Bucket

Questo esempio configura la crittografia dei bucket predefinita con l' SSE-KMS utilizzo di una chiave S3 Bucket. 

aws s3api put-bucket-encryption --bucket amzn-s3-demo-bucket --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilizza l'PutBucketEncryptionoperazione API REST per abilitare la crittografia predefinita e impostare il tipo di crittografia lato server da utilizzare—, o. SSE-S3 SSE-KMS DSSE-KMS

Per ulteriori informazioni, consulta PutBucketEncryption in Amazon Simple Storage Service API Reference (Guida di riferimento per l'API di Amazon Simple Storage Service).