Utilizzo della crittografia lato server con chiavi fornite dal cliente (SSE-C) - Amazon Simple Storage Service
Considerazioni prima di utilizzare SSE-C

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server con chiavi fornite dal cliente (SSE-C)

La crittografia lato server consente di proteggere i dati inattivi. La crittografia lato server viene applicata solo ai dati dell'oggetto, non dei metadati dell'oggetto. Puoi utilizzare la crittografia lato server con chiavi fornite dal cliente (SSE-C) nei tuoi bucket generici per crittografare i dati con le tue chiavi di crittografia. Con la chiave di crittografia fornita come parte della richiesta, Amazon S3 gestisce la crittografia dei dati durante le operazioni di scrittura su disco e decrittografia dei dati quando viene eseguito l'accesso agli oggetti. Pertanto, non è necessario mantenere alcun codice per effettuare la crittografia e la decrittografia dei dati. L'unica cosa che rimane da fare è gestire le chiavi di crittografia fornite.

La maggior parte dei casi d'uso moderni in Amazon S3 non utilizza più SSE-C perché manca la flessibilità della crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) o della crittografia lato server con chiavi KMS (SSE-KMS). AWS Il requisito di SSE-C di fornire la chiave di crittografia ogni volta che interagisci con i tuoi dati crittografati SSE-C rende poco pratico condividere la tua chiave SSE-C con altri utenti, ruoli o AWS servizi che leggono i dati dai tuoi bucket S3 per operare sui tuoi dati. A causa dell'ampio supporto per SSE-KMS in tutti i paesi AWS, la maggior parte dei carichi di lavoro moderni non utilizza la crittografia SSE-C perché manca della flessibilità di SSE-KMS. Per ulteriori informazioni Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS su SSE-KMS, consulta.

Se desideri impedire che la crittografia SSE-C venga utilizzata per gli oggetti scritti nel tuo bucket, puoi bloccare la crittografia SSE-C quando modifichi la configurazione di crittografia predefinita del bucket. Quando SSE-C viene bloccato per un bucket generico, tutte PutObject le richieste di caricamento o replica multipart che CopyObject specificano la PostObject crittografia SSE-C verranno rifiutate con un errore. HTTP 403 AccessDenied Per ulteriori informazioni sul blocco di SSE-C, consulta. Blocco o sblocco di SSE-C per un bucket per uso generico

Questa caratteristica non comporta costi supplementari per l'utilizzo di SSE-C. Tuttavia, le richieste di configurazione e utilizzo di SSE-C sono soggette alle tariffe standard delle richieste Amazon S3. Per informazioni sui prezzi, consulta Prezzi di Amazon S3.

Importante

A partire da aprile 2026, AWS disabiliterà la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket. Inoltre, la crittografia SSE-C sarà disabilitata per tutti i bucket esistenti che non dispongono di dati crittografati SSE-C. Account AWS Con queste modifiche, le poche applicazioni che richiedono la crittografia SSE-C devono abilitare deliberatamente l'uso di SSE-C tramite l'API dopo aver creato il bucket. PutBucketEncryption In questi casi, potrebbe essere necessario aggiornare gli script di automazione, i CloudFormation modelli o altri strumenti di configurazione dell'infrastruttura per configurare queste impostazioni. Per ulteriori informazioni, consulta il post del blog AWS Storage.

Considerazioni prima di utilizzare SSE-C

  • S3 non memorizza mai la chiave di crittografia quando si utilizza SSE-C. Devi fornire la chiave di crittografia ogni volta che vuoi che qualcuno scarichi i tuoi dati crittografati SSE-C da S3.

    • L'utente gestisce una mappatura per tenere traccia della chiave di crittografia che è stata utilizzata per crittografare un determinato oggetto. L'utente è responsabile della tracciatura di ciascuna chiave di crittografia fornita per ogni determinato oggetto. Ciò significa anche che se perdi la chiave di crittografia, perdi l'oggetto.

    • Dato che l'utente gestisce le chiavi di crittografia lato cliente, gestisce anche eventuali tutele aggiuntive, come la rotazione delle chiavi, lato cliente.

    • Questo design può rendere difficile la condivisione della chiave SSE-C con altri utenti, ruoli o AWS servizi che gestisci sui tuoi dati. A causa dell'ampio supporto per SSE-KMS in tutti i paesi AWS, la maggior parte dei carichi di lavoro moderni non utilizza SSE-C perché non offre la flessibilità di SSE-KMS. Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con chiavi KMS (SSE-KMS). AWS

    • Ciò significa che gli oggetti crittografati con SSE-C non possono essere decrittografati nativamente dai servizi gestiti. AWS

  • È necessario utilizzare HTTPS per specificare le intestazioni SSE-C nelle richieste.

    • Amazon S3 rifiuta qualsiasi richiesta effettuata su HTTP quando si utilizza SSE-C. Per motivi di sicurezza, è consigliabile considerare compromessa qualsiasi chiave inviata per errore tramite HTTP. Elimina la chiave ed esegui la rotazione come opportuno.

  • Se il tuo bucket è abilitato al controllo delle versioni, ogni versione dell'oggetto che carichi può avere una propria chiave di crittografia. L'utente è responsabile della tracciatura di ciascuna chiave di crittografia utilizzata per ogni determinato oggetto.

  • SSE-C non è supportato nella console Amazon S3. Non è possibile utilizzare la console Amazon S3 per caricare un oggetto e specificare la crittografia SSE-C. Non è inoltre possibile utilizzare la console per aggiornare (ad esempio, cambiare la classe di storage o aggiungere metadati) un oggetto esistente archiviato utilizzando la crittografia SSE-C.

Argomenti