Utilizzo della crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS) - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS)

L'utilizzo della crittografia lato server a due livelli con AWS Key Management Service (AWS KMS) chiavi (DSSE-KMS) applica due livelli di crittografia agli oggetti quando vengono caricati su Amazon S3. DSSE-KMS consente di soddisfare più facilmente gli standard di conformità che richiedono l'applicazione della crittografia a più livelli ai dati e il pieno controllo delle chiavi di crittografia.

La «doppia» in DSSE-KMS si riferisce a due livelli indipendenti di crittografia AES-256 applicati ai dati:

  • Primo livello: i dati vengono crittografati utilizzando una chiave di crittografia dei dati unica (DEK) generata da AWS KMS

  • Secondo livello: i dati già crittografati vengono nuovamente crittografati utilizzando una chiave di crittografia AES-256 separata gestita da Amazon S3

Ciò differisce dallo standard SSE-KMS, che applica solo un singolo livello di crittografia. L'approccio a doppio livello offre una maggiore sicurezza garantendo che, anche se un livello di crittografia fosse compromesso, i dati rimangano protetti dal secondo livello. Questa sicurezza aggiuntiva comporta un aumento del sovraccarico di elaborazione e delle chiamate AWS KMS API, il che rappresenta il costo più elevato rispetto ai sistemi SSE-KMS standard. Per ulteriori informazioni sui prezzi di DSSE-KMS, consulta i AWS KMS key concetti nella Guida per gli sviluppatori e i prezzi. AWS Key Management ServiceAWS KMS

Quando usi DSSE-KMS con un bucket Amazon S3, AWS KMS le chiavi devono trovarsi nella stessa regione del bucket. Inoltre, quando per l'oggetto è richiesta la crittografia DSSE-KMS, il checksum S3 come parte dei metadati dell'oggetto viene archiviato in formato crittografato. Per ulteriori informazioni sui checksum, consulta Verifica dell'integrità degli oggetti in Amazon S3.

Nota

Le chiavi bucket S3 non sono supportate per DSSE-KMS.

Le principali differenze tra DSSE-KMS e SSE-KMS standard sono:

  • Livelli di crittografia: DSSE-KMS applica due livelli indipendenti di crittografia AES-256, mentre lo standard SSE-KMS applica un livello

  • Sicurezza: DSSE-KMS offre una protezione avanzata contro potenziali vulnerabilità di crittografia

  • Conformità: DSSE-KMS aiuta a soddisfare i requisiti normativi che impongono la crittografia multistrato

  • Prestazioni: DSSE-KMS ha una latenza leggermente superiore grazie all'ulteriore elaborazione della crittografia

  • Costo: DSSE-KMS comporta costi più elevati a causa dell'aumento del sovraccarico di calcolo e delle operazioni aggiuntive AWS KMS

Richiede la crittografia lato server a doppio livello con (DSSE-KMS) AWS KMS keys

Per richiedere la crittografia lato server a doppio livello di tutti gli oggetti in uno specifico bucket Amazon S3, è possibile utilizzare una policy del bucket. Ad esempio, la seguente policy del bucket rifiuta a chiunque l'autorizzazione al caricamento dell'oggetto (s3:PutObject) se la richiesta non include un'intestazione x-amz-server-side-encryption che richiede la crittografia lato server con DSSE-KMS.

JSON
{
             "Version":"2012-10-17",		 	 	 
             "Id": "PutObjectPolicy",
             "Statement": [{
                   "Sid": "DenyUnEncryptedObjectUploads",
                   "Effect": "Deny",
                   "Principal": {
                       "AWS": "arn:aws:iam::111122223333:root"
                   },
                   "Action": "s3:PutObject",
                   "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition": {
                      "StringNotEquals": {
                         "s3:x-amz-server-side-encryption": "aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Argomenti