Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in transito con crittografia
Amazon S3 supporta i protocolli HTTP e HTTPS per la trasmissione dei dati. HTTP trasmette i dati in testo semplice, mentre HTTPS aggiunge un livello di sicurezza crittografando i dati utilizzando Transport Layer Security (TLS). TLS protegge da intercettazioni, manomissioni dei dati e attacchi. man-in-the-middle Sebbene il traffico HTTP sia accettato, la maggior parte delle implementazioni utilizza la crittografia in transito con HTTPS e TLS per proteggere i dati durante il trasferimento tra i client e Amazon S3.
## Supporto per TLS 1.2 e TLS 1.3
Amazon S3 supporta TLS 1.2 e TLS 1.3 per connessioni HTTPS su tutti gli endpoint API per tutti. Regioni AWS S3 negozia automaticamente la protezione TLS più potente supportata dal software client e dall'endpoint S3 a cui accedi. AWS Gli strumenti attuali (2014 o successivi), tra cui TLS 1.3 per impostazione AWS CLI predefinita, non richiede alcuna azione da parte dell'utente. AWS SDKs È possibile ignorare questa negoziazione automatica tramite le impostazioni di configurazione del client per specificare una particolare versione TLS se è necessaria la retrocompatibilità con TLS 1.2. Quando usi TLS 1.3, puoi facoltativamente configurare lo scambio di chiavi post-quantistiche ibrido (ML-KEM) per effettuare richieste con resistenza quantistica ad Amazon S3. Per ulteriori informazioni, consulta [Configurazione del TLS post-quantistico ibrido per il tuo client](pqtls-how-to.md).
**Nota**
TLS 1.3 è supportato in tutti gli endpoint S3, ad eccezione di Amazon AWS PrivateLink S3 e Multi-Region Access Point.
## Monitoraggio dell'utilizzo di TLS
Puoi utilizzare i log di accesso al server Amazon S3 o monitorare le richieste AWS CloudTrail ai bucket Amazon S3. Entrambe le opzioni di registrazione registrano la versione TLS e la suite di crittografia utilizzata in ogni richiesta.
+ Registri di **accesso al server Amazon S3: la registrazione degli accessi** al server fornisce record dettagliati per le richieste inviate a un bucket. Ad esempio, le informazioni del log di accesso possono essere utili nei controlli di accesso e di sicurezza. Per ulteriori informazioni, consulta [Formato del log di accesso al server Amazon S3](LogFormat.md).
+ **AWS CloudTrail**— [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)è un servizio che fornisce un registro delle azioni intraprese da un utente, un ruolo o un servizio. AWS CloudTrail acquisisce tutte le chiamate API per Amazon S3 come eventi. Per ulteriori informazioni, consulta [Eventi Amazon S3 CloudTrail](cloudtrail-logging-s3-info.md).
## Applicazione della crittografia in transito
Applicare la crittografia dei dati in transito verso Amazon S3 è una best practice di sicurezza. Puoi imporre la comunicazione solo HTTPS o l'uso di una versione TLS specifica attraverso vari meccanismi di policy. [Queste includono policy IAM basate sulle risorse per bucket S3 ([bucket policy](bucket-policies.md)), [Service Control Policies (), Resource Control Policies (SCPs) e policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)[per endpoint](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) VPCRCPs.](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)
### Esempi di policy Bucket per l'applicazione della crittografia in transito
Puoi utilizzare la [chiave di condizione S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) `s3:TlsVersion` per limitare l'accesso ai bucket Amazon S3 in base alla versione TLS utilizzata dal client. Per ulteriori informazioni, consulta [Esempio 6: Richiesta di una versione TLS minima](amazon-s3-policy-keys.md#example-object-tls-version).
**Example bucket policy che applica TLS 1.3 utilizzando la chiave di condizione `S3:TlsVersion`**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyInsecureConnections",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::{{{{amzn-s3-demo-bucket1}}}}",
"arn:aws:s3:::{{{{amzn-s3-demo-bucket1}}}}/*"
],
"Condition": {
"NumericLessThan": {
"s3:TlsVersion": "1.3"
}
}
}
]
}
```
Puoi utilizzare la [chiave di condizione `aws:SecureTransport` globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella tua policy sui bucket S3 per verificare se la richiesta è stata inviata tramite HTTPS (TLS). A differenza dell'esempio precedente, questa condizione non verifica una versione TLS specifica. Per ulteriori informazioni, consulta [Limitare l'accesso solo alle richieste HTTPS](example-bucket-policies.md#example-bucket-policies-use-case-HTTP-HTTPS-1).
**Example bucket policy che impone HTTPS utilizzando la chiave global condition `aws:SecureTransport`**
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictToTLSRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::{{{{amzn-s3-demo-bucket1}}}}",
"arn:aws:s3:::{{{{amzn-s3-demo-bucket1}}}}/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
**Politica di esempio basata su entrambe le chiavi e altri esempi**
È possibile utilizzare entrambi i tipi di chiavi di condizione negli esempi precedenti in un'unica politica. Per ulteriori informazioni e ulteriori approcci di applicazione, consulta l'articolo del blog AWS di Storage sull'[applicazione della crittografia in transito con TLS1 .2 o versioni successive con Amazon S3](https://aws.amazon.com/blogs/storage/enforcing-encryption-in-transit-with-tls1-2-or-higher-with-amazon-s3/).