Protezione dei dati con la crittografia lato server - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati con la crittografia lato server

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile in AWS CloudTrail log, S3 Inventory, S3 Storage Lens, console Amazon S3 e come intestazione di risposta Amazon S3 aggiuntiva nel API AWS Command Line Interface e AWS SDKs. Per ulteriori informazioni, vedere Crittografia predefinita FAQ.

La crittografia lato server è la crittografia dei dati nella posizione di destinazione eseguita dall'applicazione o dal servizio che li riceve. Amazon S3 crittografa i dati a livello di oggetto mentre li scrive su dischi AWS centra i dati e li decripta per te quando accedi. Se la richiesta è autenticata e sono disponibili le autorizzazioni per l'accesso, non c'è differenza nelle modalità di accesso agli oggetti, crittografati o meno. Ad esempio, se condividi i tuoi oggetti utilizzando un predefinitoURL, ciò URL funziona allo stesso modo sia per gli oggetti crittografati che per quelli non crittografati. Inoltre, quando elenchi oggetti nel tuo bucket, le API operazioni di elenco restituiscono un elenco di tutti gli oggetti, indipendentemente dal fatto che siano crittografati.

Tutti i bucket Amazon S3 hanno la crittografia configurata per impostazione predefinita e tutti i nuovi oggetti caricati in un bucket S3 vengono automaticamente crittografati quando sono a riposo. La crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3) è la configurazione di crittografia predefinita per ogni bucket in Amazon S3. Per utilizzare un diverso tipo di crittografia, puoi specificare il tipo di crittografia lato server da utilizzare nelle richieste PUT S3 oppure impostare la configurazione di crittografia predefinita nel bucket di destinazione.

Se desideri specificare un tipo di crittografia diverso nelle tue PUT richieste, puoi utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) chiavi (SSE-KMS), crittografia lato server a doppio livello con AWS KMS chiavi (DSSE-KMS) o crittografia lato server con chiavi fornite dal cliente (-C). SSE Se desideri impostare una configurazione di crittografia predefinita diversa nel bucket di destinazione, puoi usare - o -. SSE KMS DSSE KMS

Nota

Non è possibile applicare contemporaneamente tipi diversi di crittografia lato server a uno stesso oggetto.

Se devi crittografare gli oggetti esistenti, usa Operazioni in batch S3 e S3 Inventory. Per ulteriori informazioni, consulta Crittografia di oggetti con Operazioni in batch Amazon S3 e Esecuzione di operazioni in batch su larga scala su oggetti Amazon S3.

A seconda di come si sceglie di gestire le chiavi di crittografia e il numero di livelli di crittografia da applicare, sono disponibili quattro opzioni che si escludono a vicenda per la crittografia lato server.

Crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE

Tutti i bucket Amazon S3 hanno la crittografia configurata per impostazione predefinita. L'opzione predefinita per la crittografia lato server è con le chiavi SSE gestite di Amazon S3 (-S3). Ogni oggetto è crittografato con una chiave univoca. Come ulteriore protezione, SSE -S3 crittografa la chiave stessa con una chiave radice che ruota regolarmente. SSE-S3 utilizza uno dei cifrari a blocchi più potenti disponibili, l'Advanced Encryption Standard a 256 bit (-256), per crittografare i dati. AES Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE.

Crittografia lato server con AWS Key Management Service (AWS KMS) tasti (-) SSE KMS

Crittografia lato server con AWS KMS keys (SSE-KMS) viene fornito attraverso un'integrazione di AWS KMS servizio con Amazon S3. Con AWS KMS, hai un maggiore controllo sulle tue chiavi. Ad esempio, puoi visualizzare chiavi separate, modificare le politiche di controllo e seguire le chiavi in AWS CloudTrail. Inoltre, puoi creare e gestire chiavi gestite dal cliente o utilizzarle Chiavi gestite da AWS che sono esclusivi per te, per il tuo servizio e per la tua regione. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con AWS KMS tasti (-) SSE KMS.

Crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) tasti (-) DSSE KMS

Crittografia lato server a doppio livello con AWS KMS keys (DSSE-KMS) è simile a SSE -KMS, ma DSSE - KMS applica due singoli livelli di crittografia a livello di oggetto anziché un livello. Poiché entrambi i livelli di crittografia vengono applicati a un oggetto sul lato server, è possibile utilizzare un'ampia gamma di Servizi AWS e strumenti per analizzare i dati in S3 utilizzando un metodo di crittografia in grado di soddisfare i requisiti di conformità. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server a doppio livello con AWS KMS tasti (-) DSSE KMS.

Crittografia lato server con chiavi fornite dal cliente (-C) SSE

Con la crittografia lato server con chiavi fornite dal cliente (SSE-C), gestisci le chiavi di crittografia e Amazon S3 gestisce la crittografia durante la scrittura sui dischi e la decrittografia quando accedi ai tuoi oggetti. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi fornite dal cliente (-C) SSE.