Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione e crittografia dei dati in S3 Vectors
Nota
Amazon S3 Vectors è in versione di anteprima per Amazon Simple Storage Service ed è soggetto a modifiche.
Amazon S3 Vectors offre una durabilità del 99,99999% (11 9s) per i dati vettoriali, il che garantisce un'affidabilità eccezionale per le tue esigenze di storage vettoriale. Questa durabilità è supportata dall'infrastruttura collaudata di Amazon S3, progettata per mantenere l'integrità e la disponibilità dei dati anche in caso di guasti hardware o altre interruzioni.
La protezione dei dati in S3 Vectors comprende più livelli di controlli di sicurezza progettati per proteggere i dati vettoriali sia a riposo che in transito.
Per impostazione predefinita, tutti i nuovi vettori nei bucket vettoriali Amazon S3 Vectors utilizzano la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3). Quando crei un bucket vettoriale con crittografia SSE-S3, tutte le operazioni successive sul bucket utilizzano automaticamente la crittografia.
S3 Vectors si integra inoltre con AWS Key Management Service (KMS) per fornire opzioni flessibili di gestione delle chiavi di crittografia, che consentono di scegliere chiavi gestite dal cliente per il controllo delle autorizzazioni e la verificabilità.
Impostazione del comportamento di crittografia lato server per i bucket vettoriali Amazon S3
La configurazione della crittografia in S3 Vectors è un'impostazione di sicurezza fondamentale da specificare quando si crea un bucket vettoriale. Questo design garantisce che tutti i dati vettoriali memorizzati nel bucket siano crittografati sin dal momento della creazione. La configurazione di crittografia si applica a tutti i vettori, gli indici vettoriali e i metadati all'interno del bucket, fornendo una protezione coerente sull'intero set di dati vettoriali in un bucket vettoriale.
Importante
Le impostazioni di crittografia per un bucket vettoriale non possono essere modificate dopo la creazione del bucket vettoriale. È necessario considerare attentamente i requisiti di crittografia durante il processo di creazione del bucket, inclusi i requisiti di conformità, le preferenze di gestione delle chiavi e l'integrazione con l'infrastruttura di sicurezza esistente.
Il tipo di crittografia SSE-S3 o SSE-KMS è impostato a livello di bucket vettoriale e si applica a tutti gli indici e i vettori vettoriali all'interno del bucket. Non è possibile passare a impostazioni di crittografia diverse per i singoli indici all'interno di un bucket. La configurazione di crittografia si applica non solo ai dati vettoriali stessi, ma anche a tutti i metadati associati.
Utilizzo della crittografia SSE-S3
La crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) offre una soluzione di crittografia semplice ed efficace per bucket AWS vettoriali in cui gestisce tutti gli aspetti del processo di crittografia. Questo metodo di crittografia utilizza AES-256 la crittografia ed è progettato per fornire una sicurezza elevata con un sovraccarico operativo minimo, fornendo alle organizzazioni una crittografia robusta senza la complessità delle esigenze di gestione delle chiavi di crittografia.
Con SSE-S3, Amazon S3 gestisce automaticamente la generazione, la rotazione e la gestione delle chiavi di crittografia. SSE-S3 offre una sicurezza avanzata senza configurazioni aggiuntive o requisiti di gestione continui. I processi di crittografia e decrittografia vengono gestiti automaticamente dal servizio e non sono previsti costi aggiuntivi per l'utilizzo della crittografia SSE-S3 oltre ai prezzi standard di S3 Vectors.
Utilizzo della crittografia SSE-KMS
La crittografia lato server con chiavi del servizio di gestione delle AWS chiavi (SSE-KMS) offre un controllo avanzato sulle chiavi di crittografia e consente una registrazione dettagliata dell'utilizzo delle chiavi. Questo metodo di crittografia è ideale per le organizzazioni con requisiti di conformità rigorosi, per quelle che devono implementare politiche di rotazione delle chiavi personalizzate o per ambienti in cui sono richiesti audit trail dettagliati per l'accesso ai dati.
SSE-KMS consente di utilizzare chiavi gestite dal cliente (CMKs) per crittografare i dati vettoriali. Le chiavi gestite dal cliente offrono il massimo livello di controllo, consentendo di definire politiche chiave, abilitare o disabilitare le chiavi e monitorarne l'utilizzo. AWS CloudTrail Questo livello di controllo rende SSE-KMS particolarmente adatto per i settori regolamentati o le organizzazioni con requisiti specifici di governance dei dati.
Quando si utilizza SSE-KMS con chiavi gestite dal cliente, si ha il controllo completo su chi può utilizzare le chiavi per crittografare e decrittografare i dati. È possibile creare politiche chiave dettagliate che specificano quali utenti, ruoli o servizi possono accedere alle chiavi.
Considerazioni importanti per SSE-KMS
-
Requisiti del formato delle chiavi KMS: S3 Vectors richiede di specificare le chiavi KMS utilizzando il formato completo di Amazon Resource Name (ARN). La chiave IDs o gli alias delle chiavi non sono supportati.
-
Autorizzazioni principali del servizio: quando utilizzi chiavi gestite dal cliente con S3 Vectors, devi concedere esplicitamente le autorizzazioni al responsabile del servizio S3 Vectors per utilizzare la tua chiave KMS. Questo requisito garantisce che il servizio possa crittografare e decrittografare i dati per conto dell'utente. Il principale servizio che richiede l'accesso è.
indexing.s3vectors.amazonaws.com
Esempio: politica chiave KMS per S3 Vectors
Per utilizzare una chiave KMS gestita dal cliente con S3 Vectors, devi aggiornare la politica delle chiavi in modo da includere le autorizzazioni per il responsabile del servizio S3 Vectors. Ecco un esempio completo di policy chiave.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowS3VectorsServicePrincipal", "Effect": "Allow", "Principal": { "Service": "indexing.s3vectors.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3vectors::aws-region123456789012:bucket/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"] } } }, { "Sid": "AllowApplicationAccess", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam:123456789012:role/VectorApplicationRole", "arn:aws:iam:123456789012:user/DataScientist" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "s3vectors..amazonaws.com" }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"] } } } ] }aws-region
-
Autorizzazioni KMS richieste:
-
Autorizzazione principale del servizio S3 Vectors:
-
kms:Decrypt— Richiesta dal service principal di S3 Vectors (indexing.s3vectors.amazonaws.com) sulla chiave gestita dal cliente per mantenere e ottimizzare l'indice nelle operazioni in background
-
-
Autorizzazioni principali IAM:
-
kms:Decrypt— Richiesto per tutte le operazioni a livello vettoriale (PutVectors,,,, GetVectors) QueryVectorsDeleteVectorsListVectors -
kms:GenerateDataKey— Necessario per creare un bucket vettoriale utilizzando la chiave gestita dal cliente
-
-
-
Considerazioni sull'accesso tra account: quando si implementano modelli di accesso tra account con SSE-KMS, è necessario assicurarsi che la policy chiave KMS consenta l'accesso dai principali appropriati in altri account. Il formato ARN chiave diventa particolarmente importante negli scenari tra account, in quanto fornisce un riferimento inequivocabile alla chiave indipendentemente dal contesto dell'account da cui si accede.
