Abilitazione della crittografia predefinita per i bucket di Amazon S3 - Amazon Simple Storage Service

Abilitazione della crittografia predefinita per i bucket di Amazon S3

È possibile impostare il comportamento di crittografia predefinito su un bucket Amazon S3 in modo che tutti gli oggetti siano crittografati quando vengono memorizzati nel bucket. Gli oggetti vengono crittografati tramite la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) o chiavi AWS Key Management Service (AWS KMS) (SSE-KMS).

Quando si configura la crittografia predefinita utilizzando il servizio AWS KMS, è anche possibile configurare una chiave di bucket S3. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

La crittografia predefinita funziona con tutti i bucket Amazon S3 nuovi ed esistenti. Senza di essa, per crittografare tutti gli oggetti memorizzati in un bucket è necessario includere le informazioni di crittografia a ogni richiesta di archiviazione di un oggetto. Occorre inoltre definire una policy del bucket Amazon S3 per rifiutare le richieste di storage che non includono informazioni di crittografia.

L'uso della crittografia predefinita dei bucket S3 non comporta costi aggiuntivi. Per le richieste di configurare la funzione di crittografia predefinita vengono applicati i costi delle richieste Amazon S3 standard. Per informazioni sui prezzi, consulta Prezzi di Amazon S3. Per lo storage delle chiavi KMS di SSE-KMS, si applicano i costi per le AWS KMS, elencati in Prezzi di AWS KMS.

Modifiche alla nota prima dell'abilitazione della crittografia predefinita

Una volta abilitata la crittografia predefinita di un bucket, si applica il seguente comportamento di crittografia:

  • Non avvengono modifiche della crittografia degli oggetti che esisteva nel bucket prima che la crittografia predefinita venisse abilitata.

  • Quando si effettua il caricamento di oggetti dopo l'abilitazione della crittografia predefinita:

    • Se le intestazioni della richiesta PUT non includono le informazioni di crittografia, Amazon S3 utilizza le impostazioni di crittografia di default del bucket per eseguire la crittografia degli oggetti.

    • Se le intestazioni della richiesta PUT includono le informazioni di crittografia, Amazon S3 utilizza le informazioni di crittografia della richiesta PUT per eseguire la crittografia degli oggetti prima di archiviarli in Amazon S3.

  • Se si utilizza l'opzione SSE-KMS per la configurazione della crittografia di default, vengono applicati i limiti delle RPS (richieste al secondo) del AWS KMS. Per ulteriori informazioni sui limiti per AWS KMS e su come richiedere un aumento del limite, consulta Limiti per AWS KMS.

Per abilitare la crittografia predefinita in un bucket Amazon S3
  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nell'elenco Bucket scegli il nome del bucket desiderato.

  3. Scegliere Properties (Proprietà).

  4. In Default encryption (Crittografia di default), scegliere Edit (Modifica).

  5. Per attivare o disattivare la crittografia lato server, scegliere Enable (Abilita) o Disable (Disabilita).

  6. Per abilitare la crittografia lato server utilizzando una chiave gestita da Amazon S3, in Tipo di chiave di crittografia seleziona Chiave Amazon S3 (SSE-S3).

    Per ulteriori informazioni sull'utilizzo della crittografia lato server di Amazon S3 per crittografare i dati, consulta Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3).

  7. Per abilitare la crittografia lato server utilizzando una AWS KMS key segui questa procedura:

    1. In Tipo di chiave di crittografia, scegli Chiave AWS Key Management Service (SSE-KMS).

      Importante

      Se si utilizza l'opzione AWS KMS per la configurazione della crittografia di default, vengono applicati i limiti delle richieste al secondo (RPS) di AWS KMS. Per ulteriori informazioni sulle quote AWS KMS e su come richiedere un aumento delle quote, consulta Quote.

    2. In Chiave AWS KMS scegli una delle seguenti opzioni:

      • Chiave gestita da AWS aws/s3

      • Scegli tra le chiavi root KMS, quindi scegli la chiave root KMS.

      • Inserisci l'ARN della chiave root KMS, quindi specifica l'ARN della chiave AWS KMS.

      Importante

      Puoi utilizzare solo le chiavi KMS abilitate nella stessa Regione AWS del bucket. Quando scegli Choose from your KMS keys (Scegli tra le chiavi KMS), la console S3 elenca solo 100 chiavi KMS per regione. Se hai più di 100 chiavi KMS nella stessa regione, puoi vedere solo le prime 100 chiavi KMS nella console S3. Per utilizzare una chiave KMS non elencata nella console, seleziona Custom KMS ARN (ARN KMS personalizzato) e inserisci l'ARN della chiave KMS.

      Quando utilizzi una AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Simple Storage Service (Amazon S3) supporta solo chiavi KMS di crittografia simmetriche e non chiavi KMS asimmetriche. Per ulteriori informazioni, consulta Utilizzo di chiavi simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service.

      Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta Creazione di chiavi nella Guida per Developer di AWS Key Management Service. Per ulteriori informazioni sull'uso di AWS KMS con Amazon S3, consulta la sezione Utilizzo della crittografia lato server con AWS Key Management Service (SSE-KMS).

  8. Per utilizzare le chiavi bucket S3, in Chiave bucket seleziona Abilita.

    Quando si configura il bucket per utilizzare la crittografia predefinita con SSE-KMS, è anche possibile abilitare le chiavi bucket S3. Le chiavi bucket S3 riducono il traffico delle richieste da Amazon S3 a AWS KMS e di conseguenza il costo della crittografia. Per ulteriori informazioni, consultare Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

  9. Seleziona Salva modifiche.

Questi esempi mostrano come configurare la crittografia predefinita utilizzando la crittografia gestita da Amazon S3 (SSE-S3) o la crittografia AWS KMS (SSE-KMS) con una chiave bucket S3.

Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. Per ulteriori informazioni sull'utilizzo della AWS CLI per configurare la crittografia predefinita, consulta put-bucket-encryption.

Esempio - Crittografia predefinita con SSE-S3

In questo esempio viene configurata la crittografia predefinita del bucket con la crittografia gestita da Amazon S3.

aws s3api put-bucket-encryption --bucket bucket-name --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "AES256" } } ] }'
Esempio - Crittografia predefinita con SSE-KMS utilizzando una chiave bucket S3

In questo esempio viene configurata la crittografia predefinita del bucket con SSE-KMS utilizzando una chiave bucket S3.

aws s3api put-bucket-encryption --bucket bucket-name --server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "KMS-Key-ARN" }, "BucketKeyEnabled": true } ] }'

Usa l'operazione PUT Bucket encryption di REST API per abilitare la crittografia predefinita e impostare il tipo di crittografia lato server da utilizzare: SSE-S3 o SSE-KMS.

Per ulteriori informazioni, consulta l'argomento relativo all'operazione PutBucketEncryption nella Documentazione di riferimento delle API di Amazon Simple Storage Service.