Protezione dei dati con la crittografia lato server - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati con la crittografia lato server

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva negli SDK and. AWS Command Line Interface AWS Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.

La crittografia lato server è la crittografia dei dati nella posizione di destinazione eseguita dall'applicazione o dal servizio che li riceve. Amazon S3 crittografa i dati a livello di oggetto mentre li scrive su dischi nei data AWS center e li decrittografa per te quando vi accedi. Se la richiesta è autenticata e sono disponibili le autorizzazioni per l'accesso, non c'è differenza nelle modalità di accesso agli oggetti, crittografati o meno. Ad esempio, se si condividono gli oggetti tramite un URL prefirmato, quest'ultimo funziona nello stesso modo, sia per i dati crittografati che per quelli non crittografati. Inoltre, quando si richiede un elenco degli oggetti nel bucket, le operazioni API restituisce l'elenco di tutti gli oggetti, crittografati o meno.

Tutti i bucket Amazon S3 hanno la crittografia configurata per impostazione predefinita e tutti i nuovi oggetti caricati in un bucket S3 vengono automaticamente crittografati quando sono a riposo. La crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3) è la configurazione predefinita della crittografia per ogni bucket di Amazon S3. Per utilizzare un diverso tipo di crittografia, puoi specificare il tipo di crittografia lato server da utilizzare nelle richieste PUT S3 oppure impostare la configurazione di crittografia predefinita nel bucket di destinazione.

Se desideri specificare un tipo di crittografia diverso nelle tue PUT richieste, puoi utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), la crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS) o la crittografia lato server con chiavi fornite dal cliente (SSE-C). Per impostare una configurazione di crittografia predefinita diversa nel bucket di destinazione puoi utilizzare SSE-KMS o DSSE-KMS.

Nota

Non è possibile applicare contemporaneamente tipi diversi di crittografia lato server a uno stesso oggetto.

Se devi crittografare gli oggetti esistenti, usa Operazioni in batch S3 e S3 Inventory. Per ulteriori informazioni, consulta Crittografia di oggetti con Operazioni in batch Amazon S3 e Esecuzione di operazioni in batch su larga scala su oggetti Amazon S3.

A seconda di come si sceglie di gestire le chiavi di crittografia e il numero di livelli di crittografia da applicare, sono disponibili quattro opzioni che si escludono a vicenda per la crittografia lato server.

Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)

Tutti i bucket Amazon S3 hanno la crittografia configurata per impostazione predefinita. L'opzione predefinita per la crittografia lato server prevede le chiavi gestite da Amazon S3 (SSE-S3). Ogni oggetto è crittografato con una chiave univoca. Come ulteriore tutela, SSE-S3 esegue la crittografia della chiave con una chiave root che ruota con regolarità. Per crittografare i dati, SSE-S3 utilizza una delle cifrature di blocco più complesse disponibili, lo standard di crittografia avanzata a 256 bit (AES-256). Per ulteriori informazioni, consulta Uso della crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).

Crittografia lato server con chiavi () (SSE-KMS) AWS Key Management ServiceAWS KMS

La crittografia lato server con AWS KMS keys (SSE-KMS) viene fornita tramite l'integrazione del servizio con AWS KMS Amazon S3. Con AWS KMS, hai un maggiore controllo sulle tue chiavi. Ad esempio, puoi visualizzare le chiavi separate, modificare le policy di controllo e seguire le chiavi in AWS CloudTrail. Inoltre, puoi creare e gestire chiavi gestite dal cliente oppure utilizzare chiavi Chiavi gestite da AWS create appositamente per te, il tuo servizio e la tua regione. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS.

Crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) chiavi (DSSE-KMS)

La crittografia lato server a doppio livello con AWS KMS keys (DSSE-KMS) è simile a SSE-KMS, ma DSSE-KMS applica due singoli livelli di crittografia a livello di oggetto anziché un livello. Poiché entrambi i livelli di crittografia vengono applicati a un oggetto sul lato server, è possibile utilizzare un'ampia gamma di strumenti per analizzare i dati in S3 utilizzando un metodo di crittografia in grado di Servizi AWS soddisfare i requisiti di conformità. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server a doppio livello con chiavi (DSSE-KMS) AWS KMS.

Crittografia lato server con chiavi fornite dal cliente (SSE-C)

Con la crittografia lato server con chiavi fornite dal cliente (SSE-C) gestisci le chiavi di crittografia, mentre Amazon S3 si occupa di crittografare gli oggetti durante la scrittura su disco e di decrittarli al momento dell'accesso. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi fornite dal cliente (SSE-C).