Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Analisi di oggetti Amazon S3 crittografati

PDF
RSS
Modalità Focus
Analisi di oggetti Amazon S3 crittografati - Amazon Macie
Opzioni di crittografia per oggetti S3Consentire a Macie di utilizzare un servizio gestito dal cliente AWS KMS key

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Quando abiliti Amazon Macie for your Account AWS, Macie crea un ruolo collegato al servizio che concede a Macie le autorizzazioni necessarie per chiamare Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) e altro per tuo conto. Servizi AWS Un ruolo collegato al servizio semplifica il processo di configurazione di un ruolo Servizio AWS perché non è necessario aggiungere manualmente le autorizzazioni affinché il servizio completi le azioni per tuo conto. Per ulteriori informazioni su questo tipo di ruolo, consulta i ruoli IAM nella Guida per l'utente.AWS Identity and Access Management

La politica di autorizzazione per il ruolo collegato al servizio Macie (AWSServiceRoleForAmazonMacie) consente a Macie di eseguire azioni che includono il recupero di informazioni sui bucket e sugli oggetti S3 e il recupero e l'analisi di oggetti nei bucket S3. Se il tuo account è l'account amministratore Macie di un'organizzazione, la politica consente inoltre a Macie di eseguire queste azioni per tuo conto per gli account dei membri dell'organizzazione.

Se un oggetto S3 è crittografato, la politica di autorizzazione per il ruolo collegato al servizio Macie in genere concede a Macie le autorizzazioni necessarie per decrittografare l'oggetto. Tuttavia, ciò dipende dal tipo di crittografia utilizzato. Può anche dipendere dal fatto che Macie sia autorizzato a utilizzare la chiave di crittografia appropriata.

Opzioni di crittografia per oggetti Amazon S3

Amazon S3 supporta diverse opzioni di crittografia per oggetti S3. Per la maggior parte di queste opzioni, Amazon Macie può decrittografare un oggetto utilizzando il ruolo collegato al servizio Macie per il tuo account. Tuttavia, ciò dipende dal tipo di crittografia utilizzato per crittografare un oggetto.

Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)

Se un oggetto viene crittografato utilizzando la crittografia lato server con una chiave gestita Amazon S3 (SSE-S3), Macie può decrittografare l'oggetto.

Per ulteriori informazioni su questo tipo di crittografia, consulta la sezione Uso della crittografia lato server con le chiavi gestite di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Crittografia lato server con AWS KMS keys (DSSE-KMS e SSE-KMS)

Se un oggetto viene crittografato utilizzando la crittografia lato server a due livelli o la crittografia lato server con una crittografia gestita (DSSE-KMS o SSE-KMS), Macie può decrittografare l'oggetto. AWS AWS KMS key

Se un oggetto è crittografato utilizzando la crittografia lato server a doppio livello o la crittografia lato server con una crittografia gestita dal cliente AWS KMS key (DSSE-KMS o SSE-KMS), Macie può decrittografare l'oggetto solo se si consente a Macie di utilizzare la chiave. Questo è il caso degli oggetti crittografati con chiavi KMS gestite interamente all'interno e chiavi KMS in un archivio di chiavi esterno. AWS KMS Se a Macie non è consentito utilizzare la chiave KMS applicabile, Macie può solo archiviare e riportare i metadati relativi all'oggetto.

Per ulteriori informazioni su questi tipi di crittografia, consulta Utilizzo della crittografia lato server a doppio livello con AWS KMS keys e Utilizzo della crittografia lato server con nella Guida per l'utente di Amazon AWS KMS keys Simple Storage Service.

Suggerimento

Puoi generare automaticamente un elenco di tutti i clienti gestiti AWS KMS keys a cui Macie deve accedere per analizzare gli oggetti nei bucket S3 per il tuo account. A tale scopo, esegui lo script AWS KMS Permission Analyzer, disponibile nel repository Amazon Macie Scripts su. GitHub Lo script può anche generare uno script aggiuntivo di comandi (). AWS Command Line Interface AWS CLI Facoltativamente, puoi eseguire questi comandi per aggiornare le impostazioni e le politiche di configurazione richieste per le chiavi KMS che specifichi.

Crittografia lato server con chiavi fornite dal cliente (SSE-C)

Se un oggetto è crittografato utilizzando la crittografia lato server con una chiave fornita dal cliente (SSE-C), Macie non può decrittografare l'oggetto. Macie può solo archiviare e riportare i metadati dell'oggetto.

Per ulteriori informazioni su questo tipo di crittografia, consulta la sezione Uso della crittografia lato server con chiavi fornite dal cliente nella Guida per l'utente di Amazon Simple Storage Service.

Crittografia lato client

Se un oggetto è crittografato utilizzando la crittografia lato client, Macie non può decrittografare l'oggetto. Macie può solo archiviare e riportare i metadati dell'oggetto. Ad esempio, Macie può riportare le dimensioni dell'oggetto e i tag associati all'oggetto.

Per informazioni su questo tipo di crittografia nel contesto di Amazon S3, consulta Proteggere i dati utilizzando la crittografia lato client nella Guida per l'utente di Amazon Simple Storage Service.

Puoi filtrare l'inventario dei bucket in Macie per determinare in quali bucket S3 sono archiviati oggetti che utilizzano determinati tipi di crittografia. Puoi anche determinare quali bucket utilizzano determinati tipi di crittografia lato server per impostazione predefinita quando archiviano nuovi oggetti. La tabella seguente fornisce esempi di filtri che puoi applicare al tuo inventario dei bucket per trovare queste informazioni.

Per mostrare i bucket che... Applica questo filtro...
Archivia oggetti che utilizzano la crittografia SSE-C Il numero di oggetti mediante crittografia è fornito dal cliente e il valore da = 1
Archivia oggetti che utilizzano la crittografia DSSE-KMS o SSE-KMS Il conteggio degli oggetti tramite crittografia viene gestito e il valore From = 1 AWS KMS
Archivia oggetti che utilizzano la crittografia SSE-S3 Il numero di oggetti tramite crittografia è gestito da Amazon S3 e From = 1
Archivia oggetti che utilizzano la crittografia lato client (o non sono crittografati) Il numero di oggetti mediante crittografia è Nessuna crittografia e Da = 1
Crittografa nuovi oggetti per impostazione predefinita utilizzando la crittografia DSSE-KMS Crittografia predefinita = aws:kms:dsse
Crittografa nuovi oggetti per impostazione predefinita utilizzando la crittografia SSE-KMS Crittografia predefinita = aws:kms
Crittografa nuovi oggetti per impostazione predefinita utilizzando la crittografia SSE-S3 Crittografia predefinita = AES256

Se un bucket è configurato per crittografare nuovi oggetti per impostazione predefinita utilizzando la crittografia DSSE-KMS o SSE-KMS, puoi anche determinare quale viene utilizzato. AWS KMS key Per fare ciò, scegli il bucket nella pagina dei bucket S3. Nel pannello dei dettagli del bucket, sotto Crittografia lato server, fai riferimento al campo. AWS KMS key Questo campo mostra l'Amazon Resource Name (ARN) o l'identificatore univoco (ID chiave) per la chiave.

Consentire a Macie di utilizzare un servizio gestito dal cliente AWS KMS key

Se un oggetto Amazon S3 è crittografato utilizzando la crittografia lato server a doppio livello o la crittografia lato server con una crittografia gestita dal cliente ( AWS KMS key DSSE-KMS o SSE-KMS), Amazon Macie può decrittografare l'oggetto solo se gli è consentito l'uso della chiave. Il modo in cui fornire questo accesso dipende dal fatto che l'account proprietario della chiave possieda anche il bucket S3 che memorizza l'oggetto:

  • Se lo stesso account possiede l' AWS KMS key and the bucket, un utente dell'account deve aggiornare la policy della chiave.

  • Se un account possiede il bucket AWS KMS key e un altro account possiede il bucket, un utente dell'account che possiede la chiave deve consentire l'accesso alla chiave da più account.

Questo argomento descrive come eseguire queste attività e fornisce esempi per entrambi gli scenari. Per ulteriori informazioni su come consentire l'accesso ai servizi gestiti dai clienti AWS KMS keys, consulta l'accesso e le autorizzazioni con chiave KMS nella Guida per gli AWS Key Management Service sviluppatori.

Consentire l'accesso dello stesso account a una chiave gestita dal cliente

Se lo stesso account possiede AWS KMS key sia il bucket S3 che il bucket S3, un utente dell'account deve aggiungere una dichiarazione alla policy relativa alla chiave. L'istruzione aggiuntiva deve consentire al ruolo collegato al servizio Macie dell'account di decrittografare i dati utilizzando la chiave. Per informazioni dettagliate sull'aggiornamento di una policy chiave, consulta Changing a key policy nella Developer Guide.AWS Key Management Service

Nella dichiarazione:

  • L'Principalelemento deve specificare l'Amazon Resource Name (ARN) del ruolo collegato al servizio Macie per l'account proprietario del bucket e del bucket S3. AWS KMS key

    Se l'account è in modalità opt-in Regione AWS, l'ARN deve includere anche il codice regionale appropriato per la regione. Ad esempio, se l'account si trova nella regione del Medio Oriente (Bahrein), che ha il codice regionale me-south-1, l'Principalelemento deve specificare arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie dov'è l'ID dell'account. 123456789012 Per un elenco dei codici regionali per le regioni in cui Macie è attualmente disponibile, consulta gli endpoint e le quote di Amazon Macie nel. Riferimenti generali di AWS

  • L'Actionarray deve specificare l'azione. kms:Decrypt Questa è l'unica AWS KMS azione che Macie deve essere autorizzata a eseguire per decrittografare un oggetto S3 crittografato con la chiave.

Di seguito è riportato un esempio dell'istruzione da aggiungere alla policy per un. AWS KMS key

{
    "Sid": "Allow the Macie service-linked role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Nell'esempio precedente:

  • Il AWS campo nell'Principalelemento specifica l'ARN del ruolo AWSServiceRoleForAmazonMacie collegato al servizio Macie () per l'account. Consente al ruolo collegato al servizio Macie di eseguire l'azione specificata dall'informativa sulla politica. 123456789012è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account che possiede la chiave KMS e il bucket S3.

  • L'Actionarray specifica l'azione che il ruolo collegato al servizio Macie può eseguire utilizzando la chiave KMS: decrittografare il testo cifrato crittografato con la chiave.

La posizione in cui si aggiunge questa dichiarazione a una politica chiave dipende dalla struttura e dagli elementi attualmente contenuti nella politica. Quando aggiungete l'istruzione, assicuratevi che la sintassi sia valida. Le politiche chiave utilizzano il formato JSON. Ciò significa che è necessario aggiungere anche una virgola prima o dopo l'istruzione, a seconda di dove si aggiunge l'istruzione alla politica.

Consentire l'accesso tra più account a una chiave gestita dal cliente

Se un account possiede il AWS KMS key (proprietario della chiave) e un altro account possiede il bucket S3 (proprietario del bucket), il proprietario della chiave deve fornire al proprietario del bucket l'accesso multiaccount alla chiave KMS. Per fare ciò, il proprietario della chiave si assicura innanzitutto che la politica della chiave consenta al proprietario del bucket di utilizzare la chiave e di creare una concessione per la chiave. Il proprietario del bucket crea quindi una concessione per la chiave. Una sovvenzione è uno strumento politico che consente ai AWS mandanti di utilizzare le chiavi KMS nelle operazioni crittografiche se le condizioni specificate dalla concessione sono soddisfatte. In questo caso, la concessione delega le autorizzazioni pertinenti al ruolo collegato al servizio Macie per l'account del proprietario del bucket.

Per informazioni dettagliate sull'aggiornamento di una politica chiave, consulta Modifica di una politica chiave nella Guida per gli sviluppatori.AWS Key Management Service Per ulteriori informazioni sulle sovvenzioni, consulta Grants AWS KMS nella AWS Key Management Service Developer Guide.

Fase 1: Aggiorna la politica chiave

Nella politica chiave, il proprietario della chiave deve assicurarsi che la politica includa due dichiarazioni:

  • La prima istruzione consente al proprietario del bucket di utilizzare la chiave per decrittografare i dati.

  • La seconda istruzione consente al proprietario del bucket di creare una concessione per il ruolo collegato al servizio Macie per il proprio account (del proprietario del bucket).

Nella prima istruzione, l'Principalelemento deve specificare l'ARN dell'account del proprietario del bucket. L'Actionarray deve specificare l'azione. kms:Decrypt Questa è l'unica AWS KMS azione che Macie deve poter eseguire per decriptare un oggetto cifrato con la chiave. Di seguito è riportato un esempio di questa dichiarazione nella politica per un. AWS KMS key

{
    "Sid": "Allow account 111122223333 to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Nell'esempio precedente:

  • Il AWS campo nell'Principalelemento specifica l'ARN dell'account del proprietario del bucket (). 111122223333 Consente al proprietario del bucket di eseguire l'azione specificata dalla dichiarazione politica. 111122223333è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account del proprietario del bucket.

  • L'Actionarray specifica l'azione che il proprietario del bucket è autorizzato a eseguire utilizzando la chiave KMS: decrittografare il testo cifrato crittografato con la chiave.

La seconda dichiarazione della policy chiave consente al proprietario del bucket di creare una concessione per il ruolo collegato al servizio Macie per il proprio account. In questa istruzione, l'Principalelemento deve specificare l'ARN dell'account del proprietario del bucket. L'Actionarray deve specificare l'azione. kms:CreateGrant Un Condition elemento può filtrare l'accesso kms:CreateGrant all'azione specificata nell'istruzione. Di seguito è riportato un esempio di questa dichiarazione nella politica per un AWS KMS key.

{
    "Sid": "Allow account 111122223333 to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
        }
    }
}

Nell'esempio precedente:

  • Il AWS campo nell'Principalelemento specifica l'ARN dell'account del proprietario del bucket (). 111122223333 Consente al proprietario del bucket di eseguire l'azione specificata dalla dichiarazione politica. 111122223333è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account del proprietario del bucket.

  • L'Actionarray specifica l'azione che il proprietario del bucket è autorizzato a eseguire sulla chiave KMS: creare una concessione per la chiave.

  • L'Conditionelemento utilizza l'operatore di StringEquals condizione e la chiave di kms:GranteePrincipal condizione per filtrare l'accesso all'azione specificata dall'informativa. In questo caso, il proprietario del bucket può creare una concessione solo per l'account specificatoGranteePrincipal, che è l'ARN del ruolo collegato al servizio Macie per il proprio account. In quell'ARN, 111122223333 c'è un esempio di ID account. Sostituisci questo valore con l'ID dell'account del proprietario del bucket.

    Se l'account del proprietario del bucket è abilitato Regione AWS, includi anche il codice regionale appropriato nell'ARN del ruolo collegato al servizio Macie. Ad esempio, se l'account si trova nella regione Medio Oriente (Bahrein), che ha il codice regionale me-south-1, sostituiscilo con nell'ARN. macie.amazonaws.com macie.me-south-1.amazonaws.com Per un elenco dei codici regionali per le regioni in cui Macie è attualmente disponibile, consulta gli endpoint e le quote di Amazon Macie nel. Riferimenti generali di AWS

Il luogo in cui il proprietario della chiave aggiunge queste istruzioni alla politica chiave dipende dalla struttura e dagli elementi attualmente contenuti nella politica. Quando il proprietario della chiave aggiunge le istruzioni, deve assicurarsi che la sintassi sia valida. Le politiche chiave utilizzano il formato JSON. Ciò significa che il proprietario della chiave deve aggiungere anche una virgola prima o dopo ogni istruzione, a seconda di dove aggiunge l'istruzione alla politica.

Fase 2: Creare una sovvenzione

Dopo che il proprietario della chiave ha aggiornato la policy chiave secondo necessità, il proprietario del bucket deve creare una concessione per la chiave. La concessione delega le autorizzazioni pertinenti al ruolo collegato al servizio Macie per il loro account (del proprietario del bucket). Prima che il proprietario del bucket crei la concessione, deve verificare di essere autorizzato a eseguire l'azione per il proprio account. kms:CreateGrant Questa azione consente loro di aggiungere una sovvenzione a una sovvenzione esistente gestita AWS KMS key dal cliente.

Per creare la concessione, il proprietario del bucket può utilizzare il CreateGrantfunzionamento dell' AWS Key Management Service API. Quando il proprietario del bucket crea la concessione, deve specificare i seguenti valori per i parametri richiesti:

  • KeyId— L'ARN della chiave KMS. Per l'accesso tra account a una chiave KMS, questo valore deve essere un ARN. Non può essere un ID chiave.

  • GranteePrincipal— L'ARN del ruolo collegato al servizio Macie () AWSServiceRoleForAmazonMacie per il loro account. Questo valore dovrebbe esserearn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie: 111122223333 dov'è l'ID dell'account del proprietario del bucket.

    Se l'account si trova in una regione che accetta l'iscrizione, l'ARN deve includere il codice regionale appropriato. Ad esempio, se il suo account si trova nella regione del Medio Oriente (Bahrein), che ha il codice regionale me-south-1, l'ARN dovrebbe arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie essere, 111122223333 dov'è l'ID dell'account del proprietario del bucket.

  • Operations— L'azione di decrittografia (). AWS KMS Decrypt Questa è l'unica AWS KMS azione che Macie deve poter eseguire per decriptare un oggetto cifrato con la chiave KMS.

Per creare una concessione per una chiave KMS gestita dal cliente utilizzando AWS Command Line Interface (AWS CLI), esegui il comando create-grant. L'esempio seguente mostra come. L'esempio è formattato per Microsoft Windows e utilizza il carattere di continuazione di riga (^) per migliorare la leggibilità.

C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"

Dove:

  • key-idspecifica l'ARN della chiave KMS a cui applicare la concessione.

  • grantee-principalspecifica l'ARN del ruolo collegato al servizio Macie per l'account autorizzato a eseguire l'azione specificata dalla concessione. Questo valore deve corrispondere all'ARN specificato dalla kms:GranteePrincipal condizione della seconda istruzione nella policy chiave.

  • operationsspecifica l'azione che la concessione consente al principale specificato di eseguire: decrittografare il testo cifrato crittografato con la chiave KMS.

Se eseguirai il comando correttamente, riceverai un output simile al seguente.

{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}

Dove GrantToken è una stringa univoca, non segreta, a lunghezza variabile e con codifica in base64 che rappresenta la concessione creata e ne rappresenta l'identificatore univoco. GrantId

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.