Utilizzo della crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS) - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS)

L'utilizzo della crittografia lato server a due livelli con AWS Key Management Service (AWS KMS) chiavi (DSSE-KMS) applica due livelli di crittografia agli oggetti quando vengono caricati su Amazon S3. DSSE-KMS consente di soddisfare più facilmente gli standard di conformità che richiedono l'applicazione della crittografia a più livelli ai dati e il pieno controllo delle chiavi di crittografia.

Quando usi DSSE-KMS con un bucket Amazon S3, AWS KMS le chiavi devono trovarsi nella stessa regione del bucket. Inoltre, quando per l'oggetto è richiesta la crittografia DSSE-KMS, il checksum S3 come parte dei metadati dell'oggetto viene archiviato in formato crittografato. Per ulteriori informazioni sui checksum, consulta Verifica dell'integrità degli oggetti in Amazon S3.

Sono previsti costi aggiuntivi per l'utilizzo di DSSE-KMS e. AWS KMS keys Per ulteriori informazioni sui prezzi di DSSE-KMS, consulta Concetti di AWS KMS key nella Guida per gli sviluppatori di AWS Key Management Service e Prezzi di AWS KMS.

Nota

Le chiavi bucket S3 non sono supportate per DSSE-KMS.

Richiede la crittografia lato server a doppio livello con (DSSE-KMS) AWS KMS keys

Per richiedere la crittografia lato server a doppio livello di tutti gli oggetti in uno specifico bucket Amazon S3, è possibile utilizzare una policy del bucket. Ad esempio, la seguente policy del bucket rifiuta a chiunque l'autorizzazione al caricamento dell'oggetto (s3:PutObject) se la richiesta non include un'intestazione x-amz-server-side-encryption che richiede la crittografia lato server con DSSE-KMS.

{
             "Version":"2012-10-17",
             "Id":"PutObjectPolicy",
             "Statement":[{
                   "Sid":"DenyUnEncryptedObjectUploads",
                   "Effect":"Deny",
                   "Principal":"*",
                   "Action":"s3:PutObject",
                   "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition":{
                      "StringNotEquals":{
                         "s3:x-amz-server-side-encryption":"aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Argomenti