Protezione dei dati con la crittografia lato server - Amazon Simple Storage Service

Protezione dei dati con la crittografia lato server

La crittografia lato server è la crittografia dei dati nella posizione di destinazione eseguita dall'applicazione o dal servizio che li riceve. Amazon S3 esegue la crittografia dei dati a livello di oggetto, tramite la scrittura sui dischi nei data center, e la decrittografia al momento dell'accesso. Se la richiesta è autenticata e sono disponibili le autorizzazioni per l'accesso, non c'è differenza nelle modalità di accesso agli oggetti, crittografati o meno. Ad esempio, se si condividono gli oggetti tramite un URL prefirmato, quest'ultimo funziona nello stesso modo, sia per i dati crittografati che per quelli non crittografati. Inoltre, quando si richiede un elenco degli oggetti nel bucket, l'API restituisce un elenco di tutti gli oggetti, crittografati o meno.

Nota

Non è possibile applicare contemporaneamente tipi diversi di crittografia lato server a uno stesso oggetto.

A seconda di come scegli di gestire le chiavi di crittografia, sono disponibili tre opzioni che si escludono a vicenda:

Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)

Quando usi la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3), ogni oggetto viene crittografato con una chiave univoca. Come ulteriore tutela, crittografa la chiave con una chiave root che ruota con regolarità. Per crittografare i dati, la crittografia lato server di Simple Storage Service (Amazon S3) utilizza una delle crittografie di blocco più complesse disponibili, lo standard di crittografia avanzata a 256 bit (AES-256). Per gli oggetti crittografati prima di AES-GCM, è ancora supportato AES-CBC per decrittare tali oggetti. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Crittografia lato server con chiavi KMS archiviate in AWS Key Management Service (SSE-KMS).

La crittografia lato server con AWS KMS keys (SSE-KMS) è simile alla soluzione SSE-S3, ma con alcuni vantaggi e costi aggiuntivi per l'utilizzo del servizio. Sono disponibili autorizzazioni separate per l'utilizzo di una chiave KMS che garantisce un'ulteriore protezione da accessi non autorizzati agli oggetti in Amazon S3. SSE-KMS offre anche un percorso di verifica che mostra quando è stata usata la chiave KMS e da chi. Inoltre, puoi creare e gestire chiavi gestite dal cliente oppure utilizzare chiavi CMK gestite da AWS create appositamente per te, il tuo servizio e la tua regione. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con AWS Key Management Service (SSE-KMS).

Crittografia lato server con chiavi fornite dal cliente (SSE-C)

Con la crittografia lato server con chiavi fornite dal cliente (SSE-C) gestisci le chiavi di crittografia, mentre Amazon S3 si occupa di crittografare gli oggetti durante la scrittura e di decrittarli al momento dell'accesso. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi fornite dal cliente (SSE-C).