Protezione dei dati con la crittografia lato server
Importante
Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato della crittografia automatica per la configurazione della crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei log di AWS CloudTrail, in Inventario S3, in S3 Storage Lens, nella console di Amazon S3 e come intestazione di risposta API Amazon S3 aggiuntiva nella AWS Command Line Interface e negli SDK AWS. Per ulteriori informazioni, consulta le FAQ sulla crittografia predefinita.
La crittografia lato server è la crittografia dei dati a destinazione da parte dell'applicazione o del servizio che li riceve. Amazon S3 esegue la crittografia dei dati a livello di oggetto durante la scrittura dei dati stessi sui dischi nei data center AWS e quindi ne esegue la decrittografia al momento dell'accesso. Finché si autentica la richiesta e si dispone dei permessi di accesso, non c'è alcuna differenza nel modo in cui si accede agli oggetti crittografati o non crittografati. Ad esempio, se si condividono gli oggetti tramite un URL prefirmato, quest'ultimo funziona nello stesso modo, sia per i dati crittografati che per quelli non crittografati. Inoltre, quando si elencano gli oggetti nel bucket, le operazioni API di elenco restituiscono un elenco di tutti gli oggetti, indipendentemente dal fatto che siano criptati.
Tutti i bucket Amazon S3 sono configurati in modo predefinito e tutti i nuovi oggetti caricati su un bucket S3 vengono automaticamente crittografati a riposo. La crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket di Amazon S3. Per utilizzare un tipo di crittografia diverso, è possibile specificare il tipo di crittografia lato server da utilizzare nelle richieste S3 PUT
oppure impostare la configurazione di crittografia predefinita nel bucket di destinazione.
Se desideri specificare un tipo di crittografia diverso nelle richieste PUT
, puoi utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), la crittografia lato server a doppio livello con chiavi AWS KMS (DSSE-KMS) o la crittografia lato server con chiavi fornite dal cliente (SSE-C). Se si desidera impostare una configurazione di crittografia predefinita diversa nel bucket di destinazione, è possibile utilizzare SSE-KMS o DSSE-KMS.
Nota
Non è possibile applicare contemporaneamente diversi tipi di crittografia lato server allo stesso oggetto.
Se devi crittografare gli oggetti esistenti, usa Operazioni in batch S3 e S3 Inventory. Per ulteriori informazioni, consulta Crittografia degli oggetti con Amazon S3 Batch Operations
A seconda di come si sceglie di gestire le chiavi di crittografia e il numero di livelli di crittografia da applicare, sono disponibili quattro opzioni che si escludono a vicenda per la crittografia lato server.
Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)
Tutti i bucket Amazon S3 hanno la crittografia configurata per impostazione predefinita. L'opzione predefinita per la crittografia lato server prevede le chiavi gestite da Amazon S3 (SSE-S3). Ogni oggetto è crittografato con una chiave univoca. Come ulteriore tutela, SSE-S3 esegue la crittografia della chiave con una chiave root che ruota con regolarità. Per crittografare i dati, SSE-S3 utilizza una delle cifrature di blocco più complesse disponibili, lo standard di crittografia avanzata a 256 bit (AES-256). Per ulteriori informazioni, consulta Uso della crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).
Crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS)
La crittografia lato server con AWS KMS keys (SSE-KMS) viene fornita tramite l'integrazione del servizio AWS KMS con Amazon S3. Con AWS KMS, hai un maggiore controllo sulle tue chiavi. Ad esempio, puoi visualizzare le chiavi separate, modificare le policy di controllo e seguire le chiavi in AWS CloudTrail. Inoltre, puoi creare e gestire chiavi gestite dal cliente oppure utilizzare chiavi Chiavi gestite da AWS create appositamente per te, il tuo servizio e la tua regione. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi AWS KMS (SSE-KMS).
Crittografia dual-layer lato server con chiavi AWS Key Management Service (AWS KMS) (DSSE-KMS)
La crittografia lato server a doppio livello con AWS KMS keys (DSSE-KMS) è simile a SSE-KMS, ma DSSE-KMS applica due singoli livelli di crittografia per l'oggetto anziché uno solo. Poiché entrambi i livelli di crittografia vengono applicati a un oggetto sul lato server, puoi utilizzare un'ampia scelta di Servizi AWS e strumenti per analizzare i dati in S3 utilizzando un metodo di crittografia in grado di soddisfare i tuoi requisiti di conformità. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server a doppio livello con chiavi AWS KMS (DSSE-KMS).
Crittografia lato server con chiavi fornite dal cliente (SSE-C)
Con la crittografia lato server con chiavi fornite dal cliente (SSE-C) gestisci le chiavi di crittografia, mentre Amazon S3 si occupa di crittografare gli oggetti durante la scrittura su disco e di decrittarli al momento dell'accesso. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi fornite dal cliente (SSE-C).