Impostazione e monitoraggio della crittografia predefinita per i bucket di directory

I bucket Amazon S3 hanno la crittografia dei bucket abilitata per impostazione predefinita; i nuovi oggetti vengono crittografati automaticamente utilizzando la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Questa crittografia si applica a tutti i nuovi oggetti nei bucket Amazon S3 e non comporta costi aggiuntivi.

Se hai bisogno di un maggiore controllo sulle chiavi di crittografia, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi scegliere di utilizzare la crittografia lato server con chiavi () (SSE-KMS). AWS Key Management Service AWS KMS

Nota

• Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste CreateSession o nelle richieste di oggetti PUT. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS

• Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione.

• Quando si imposta la crittografia predefinita del bucket su SSE-KMS, le S3 Bucket Keys sono sempre abilitate per le operazioni GET e PUT in un bucket della directory e non possono essere disabilitate. Le S3 Bucket Keys non sono supportate quando copi oggetti crittografati SSE-KMS da bucket generici a bucket di directory, da bucket di directory a bucket generici o tra bucket di directory, tramite CopyObject, UploadPartCopy, il Copy operazione in Batch Operations, oppure import lavori. In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS. Per ulteriori informazioni su come S3 Bucket Keys riduce i AWS KMS costi delle richieste, consulta. Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3

• Quando si specifica una chiave gestita dal cliente AWS KMS per la crittografia nel bucket della directory, utilizzare solo l'ID chiave o l'ARN chiave. Il formato alias della chiave KMS non è supportato.

• La crittografia lato server a doppio livello con AWS KMS chiavi (DSSE-KMS) e la crittografia lato server con chiavi fornite dal cliente (SSE-C) non sono supportate per la crittografia predefinita nei bucket di directory.

Per ulteriori informazioni sulla configurazione della crittografia predefinita, consulta Configurazione della crittografia predefinita.

Per ulteriori informazioni sulle autorizzazioni richieste per la crittografia predefinita, vedere PutBucketEncryptionnel riferimento all'API di riferimento di Amazon Simple Storage Service.

Puoi configurare la crittografia predefinita di Amazon S3 per un bucket S3 utilizzando la console Amazon S3, l'API REST di AWS SDKs Amazon S3 e (). AWS Command Line Interface AWS CLI

Utilizzo della console S3

Per configurare la crittografia predefinita per un bucket Amazon S3

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).

3. Nell'elenco Bucket scegli il nome del bucket desiderato.

4. Scegliere la scheda Properties (Proprietà).

5. In Impostazioni di crittografia lato server, i bucket della directory utilizzano la crittografia lato server con Chiavi gestite da Amazon S3 (SSE-S3).

6. Scegli Save changes (Salva modifiche).

Usando il AWS CLI

Questi esempi mostrano come configurare la crittografia predefinita utilizzando la crittografia gestita da Amazon S3 (SSE-S3) o la crittografia SSE-KMS con una chiave bucket S3.

Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. Per ulteriori informazioni sull'utilizzo della AWS CLI configurazione della crittografia predefinita, vedere put-bucket-encryption.

Esempio - Crittografia predefinita con SSE-S3

In questo esempio viene configurata la crittografia predefinita dei bucket con le chiavi gestite da Amazon S3. Per utilizzare il comando, sostituiscilo user input placeholders con le tue informazioni.

aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
    "Rules": [
        {
            "ApplyServerSideEncryptionByDefault": {
                "SSEAlgorithm": "AES256"
            }
        }
    ]
}'

Esempio - Crittografia predefinita con SSE-KMS utilizzando una chiave bucket S3

In questo esempio viene configurata la crittografia predefinita del bucket con SSE-KMS utilizzando una chiave bucket S3. Per utilizzare il comando, sostituiscilo user input placeholders con le tue informazioni.

aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
    "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "aws:kms",
                    "KMSMasterKeyID": "KMS-Key-ARN"
                },
                "BucketKeyEnabled": true
            }
        ]
    }'

Utilizzo della REST API

Utilizza l'operazione REST API PutBucketEncryption per impostare la crittografia predefinita con un tipo di crittografia lato server da utilizzare: SSE-S3 o SSE-KMS.

Per ulteriori informazioni, consulta PutBucketEncryptionnel riferimento all'API di riferimento di Amazon Simple Storage Service.

Usando il AWS SDKs

Durante l'utilizzo AWS SDKs, puoi richiedere che Amazon S3 venga utilizzato AWS KMS keys per la crittografia lato server. Gli esempi seguenti AWS SDKs per Java e.NET configurano la configurazione di crittografia predefinita per un bucket di directory con SSE-KMS e una chiave S3 Bucket. Per informazioni su altri SDKs, consulta Codice di esempio e librerie nel Developer Center. AWS

Importante

Quando utilizzi una chiave KMS AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Amazon S3 supporta solo chiavi KMS di crittografia simmetrica. Per ulteriori informazioni sulle chiavi, consulta Chiavi KMS di crittografia simmetrica nella Guida per gli sviluppatori di AWS Key Management Service .

Java

Con AWS SDK for Java 2.x, puoi richiedere ad Amazon S3 di utilizzare un AWS KMS key metodo utilizzando il applyServerSideEncryptionByDefault metodo per specificare la configurazione di crittografia predefinita del tuo bucket di directory per la crittografia dei dati con SSE-KMS. Si crea una chiave KMS di crittografia simmetrica e la si specifica nella richiesta.

import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.PutBucketEncryptionRequest;
import software.amazon.awssdk.services.s3.model.ServerSideEncryption;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionByDefault;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionConfiguration;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionRule;

public class Main {
    public static void main(String[] args) {
        S3Client s3 = S3Client.create();
        String bucketName = "bucket-base-name--zoneid--x-s3";
        String kmsKeyId = "your-kms-customer-managed-key-id";

        // AWS managed KMS keys aren't supported. Only customer-managed keys are supported.
        ServerSideEncryptionByDefault serverSideEncryptionByDefault = ServerSideEncryptionByDefault.builder()
                .sseAlgorithm(ServerSideEncryption.AWS_KMS)
                .kmsMasterKeyID(kmsKeyId)
                .build();

        // The bucketKeyEnabled field is enforced to be true.
        ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
                .bucketKeyEnabled(true)
                .applyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
                .build();
  
        ServerSideEncryptionConfiguration serverSideEncryptionConfiguration = ServerSideEncryptionConfiguration.builder()
                .rules(rule)
                .build();

        PutBucketEncryptionRequest putRequest = PutBucketEncryptionRequest.builder()
                .bucket(bucketName)
                .serverSideEncryptionConfiguration(serverSideEncryptionConfiguration)
                .build();

        s3.putBucketEncryption(putRequest);
        
    }
}
                 
                            

Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta Programming the AWS KMS API nella Developer Guide.AWS Key Management Service

Per esempi di codice di utilizzo per il caricamento di un oggetto, consulta gli argomenti elencati di seguito. Per usare questi esempi dovrai aggiornare gli esempi di codice e fornire informazioni sulla crittografia come mostrato nel frammento di codice precedente.

• Per il caricamento di un oggetto in un'unica operazione, consulta Caricamento di oggetti in un bucket di directory.

• Per le operazioni API di caricamento multiparte, consulta Utilizzo dei caricamenti multiparte con i bucket di directory.

.NET

Con AWS SDK for .NET, puoi richiedere ad Amazon S3 di utilizzare un AWS KMS key utilizzando la ServerSideEncryptionByDefault proprietà per specificare la configurazione di crittografia predefinita del tuo bucket di directory per la crittografia dei dati con SSE-KMS. Si crea una chiave di crittografia simmetrica gestita dal cliente e la si specifica nella richiesta.

    // Set the bucket server side encryption to use AWSKMS with a customer-managed key id.
    // bucketName: Name of the directory bucket. "bucket-base-name--zonsid--x-s3"
    // kmsKeyId: The Id of the customer managed KMS Key. "your-kms-customer-managed-key-id"
    // Returns True if successful.
    public static async Task<bool> SetBucketServerSideEncryption(string bucketName, string kmsKeyId)
    {
        var serverSideEncryptionByDefault = new ServerSideEncryptionConfiguration
        {
            ServerSideEncryptionRules = new List<ServerSideEncryptionRule>
            {
                new ServerSideEncryptionRule
                {
                    ServerSideEncryptionByDefault = new ServerSideEncryptionByDefault
                    {
                        ServerSideEncryptionAlgorithm = ServerSideEncryptionMethod.AWSKMS,
                        ServerSideEncryptionKeyManagementServiceKeyId = kmsKeyId
                    }
                }
            }
        };
        try
        {
            var encryptionResponse =await _s3Client.PutBucketEncryptionAsync(new PutBucketEncryptionRequest
            {
                BucketName = bucketName,
                ServerSideEncryptionConfiguration = serverSideEncryptionByDefault,
            });
            
            return encryptionResponse.HttpStatusCode == HttpStatusCode.OK;
        }
        catch (AmazonS3Exception ex)
        {
            Console.WriteLine(ex.ErrorCode == "AccessDenied"
                ? $"This account does not have permission to set encryption on {bucketName}, please try again."
                : $"Unable to set bucket encryption for bucket {bucketName}, {ex.Message}");
        }
        return false;
    }
     
       
                            

Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta Programming the AWS KMS API nella Developer Guide.AWS Key Management Service

Per esempi di codice di utilizzo per il caricamento di un oggetto, consulta gli argomenti elencati di seguito. Per usare questi esempi dovrai aggiornare gli esempi di codice e fornire informazioni sulla crittografia come mostrato nel frammento di codice precedente.

• Per il caricamento di un oggetto in un'unica operazione, consulta Caricamento di oggetti in un bucket di directory.

• Per le operazioni API di caricamento multiparte, consulta Utilizzo dei caricamenti multiparte con i bucket di directory.

Monitoraggio della crittografia predefinita per i bucket di directory con AWS CloudTrail

È possibile tenere traccia delle richieste di configurazione della crittografia predefinita per i bucket di directory Amazon S3 utilizzando gli eventi AWS CloudTrail . I seguenti nomi di eventi API vengono utilizzati nei CloudTrail log:

• PutBucketEncryption

• GetBucketEncryption

• DeleteBucketEncryption

Nota

• EventBridge non è supportato nei bucket di directory.

• La crittografia lato server a doppio livello con chiavi AWS Key Management Service (AWS KMS) (DSSE-KMS) o la crittografia lato server con chiavi di crittografia fornite dal cliente (SSE-C) non sono supportate nei bucket di directory.

Per ulteriori informazioni sul monitoraggio della crittografia predefinita con AWS CloudTrail, consulta Monitoraggio della crittografia predefinita con AWS CloudTrail e Amazon EventBridge.