Protezione dei dati in transito con crittografia - Amazon Simple Storage Service
Supporto per TLS 1.2 e TLS 1.3Monitoraggio dell'utilizzo di TLSApplicazione della crittografia in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in transito con crittografia

Amazon S3 supporta i protocolli HTTP e HTTPS per la trasmissione dei dati. HTTP trasmette i dati in testo semplice, mentre HTTPS aggiunge un livello di sicurezza crittografando i dati utilizzando Transport Layer Security (TLS). TLS protegge da intercettazioni, manomissioni dei dati e attacchi. man-in-the-middle Sebbene il traffico HTTP sia accettato, la maggior parte delle implementazioni utilizza la crittografia in transito con HTTPS e TLS per proteggere i dati durante il trasferimento tra i client e Amazon S3.

Supporto per TLS 1.2 e TLS 1.3

Amazon S3 supporta TLS 1.2 e TLS 1.3 per connessioni HTTPS su tutti gli endpoint API per tutti. Regioni AWS S3 negozia automaticamente la protezione TLS più potente supportata dal software client e dall'endpoint S3 a cui accedi. AWS Gli strumenti attuali (2014 o successivi), tra cui TLS 1.3 per impostazione AWS CLI predefinita, non richiede alcuna azione da parte dell'utente. AWS SDKs È possibile ignorare questa negoziazione automatica tramite le impostazioni di configurazione del client per specificare una particolare versione TLS se è necessaria la retrocompatibilità con TLS 1.2. Quando usi TLS 1.3, puoi facoltativamente configurare lo scambio di chiavi post-quantistiche ibrido (ML-KEM) per effettuare richieste con resistenza quantistica ad Amazon S3. Per ulteriori informazioni, consulta Configurazione del TLS post-quantistico ibrido per il tuo client.

Nota

TLS 1.3 è supportato in tutti gli endpoint S3, ad eccezione di Amazon AWS PrivateLink S3 e Multi-Region Access Point.

Monitoraggio dell'utilizzo di TLS

Puoi utilizzare i log di accesso al server Amazon S3 o monitorare le richieste AWS CloudTrail ai bucket Amazon S3. Entrambe le opzioni di registrazione registrano la versione TLS e la suite di crittografia utilizzata in ogni richiesta.

  • Registri di accesso al server Amazon S3: la registrazione degli accessi al server fornisce record dettagliati per le richieste inviate a un bucket. Ad esempio, le informazioni del log di accesso possono essere utili nei controlli di accesso e di sicurezza. Per ulteriori informazioni, consulta Formato del log di accesso al server Amazon S3.

  • AWS CloudTrailAWS CloudTrailè un servizio che fornisce un registro delle azioni intraprese da un utente, un ruolo o un servizio. AWS CloudTrail acquisisce tutte le chiamate API per Amazon S3 come eventi. Per ulteriori informazioni, consulta Eventi Amazon S3 CloudTrail .

Applicazione della crittografia in transito

Applicare la crittografia dei dati in transito verso Amazon S3 è una best practice di sicurezza. Puoi imporre la comunicazione solo HTTPS o l'uso di una versione TLS specifica attraverso vari meccanismi di policy. Queste includono policy IAM basate sulle risorse per bucket S3 (bucket policy), Service Control Policies (), Resource Control Policies (SCPs) e policyper endpoint VPCRCPs.

Esempi di policy Bucket per l'applicazione della crittografia in transito

Puoi utilizzare la chiave di condizione S3 s3:TlsVersion per limitare l'accesso ai bucket Amazon S3 in base alla versione TLS utilizzata dal client. Per ulteriori informazioni, consulta Esempio 6: Richiesta di una versione TLS minima.

Esempio bucket policy che applica TLS 1.3 utilizzando la chiave di condizione S3:TlsVersion
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyInsecureConnections",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket1/*"
      ],
      "Condition": {
        "NumericLessThan": {
          "s3:TlsVersion": "1.3"
        }
      }
    }
  ]
}

Puoi utilizzare la chiave di condizione aws:SecureTransport globale nella tua policy sui bucket S3 per verificare se la richiesta è stata inviata tramite HTTPS (TLS). A differenza dell'esempio precedente, questa condizione non verifica la presenza di una versione TLS specifica. Per ulteriori informazioni, consulta Limitare l'accesso solo alle richieste HTTPS.

Esempio bucket policy che impone HTTPS utilizzando la chiave global condition aws:SecureTransport
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
     {
        "Sid": "RestrictToTLSRequestsOnly",		 	 	 
        "Action": "s3:*",
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1",
            "arn:aws:s3:::amzn-s3-demo-bucket1/*"
        ],
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "false"
            }
        },
        "Principal": "*"
    }
  ]
}
Politica di esempio basata su entrambe le chiavi e altri esempi

È possibile utilizzare entrambi i tipi di chiavi di condizione negli esempi precedenti in un'unica politica. Per ulteriori informazioni e ulteriori approcci di applicazione, consulta l'articolo dello AWS Storage Blog Applica la crittografia in transito con TLS1 .2 o versioni successive con Amazon S3.