Utilizzo della crittografia lato server con chiavi AWS KMS (SSE-KMS)

La crittografia lato server è la crittografia dei dati nella posizione di destinazione eseguita dall'applicazione o dal servizio che li riceve.

Amazon S3 abilita automaticamente la crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3) per il caricamento di nuovi oggetti.

Salvo diversa indicazione, per crittografare gli oggetti i bucket utilizzano SSE-S3 per impostazione predefinita. Tuttavia, è possibile scegliere di configurare i bucket in modo da utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). Per ulteriori informazioni, consulta Specifica della crittografia lato server con AWS KMS (SSE-KMS).

AWS KMS è un servizio che combina hardware e software sicuri e altamente disponibili per offrire un sistema di gestione delle chiavi a misura di cloud. Amazon S3 utilizza la crittografia lato server con AWS KMS (SSE-KMS) per crittografare i dati degli oggetti S3. Inoltre, quando SSE-KMS viene richiesto per l'oggetto, il checksum S3 (come parte dei metadati dell'oggetto) viene memorizzato in forma criptata. Per ulteriori informazioni sui checksum, consulta Verifica dell'integrità degli oggetti in Amazon S3.

Se utilizzi le chiavi KMS, puoi utilizzare AWS KMS mediante la Console di gestione AWS o l’API AWS KMS per eseguire le seguenti operazioni:

I controlli della sicurezza in AWS KMS possono essere d'aiuto per soddisfare i requisiti di conformità correlati alla crittografia. Puoi utilizzare queste chiavi KMS per proteggere i dati nei bucket Amazon S3. Quando utilizzi la crittografia SSE-KMS con un S3 bucket, è necessario che le AWS KMS keys si trovino nelle stessa regione del bucket.

Non vi sono costi aggiuntivi per l'utilizzo di AWS KMS keys. Per ulteriori informazioni, consulta la sezione Concetti di AWS KMS key nella Guida per gli sviluppatori di AWS Key Management Service e i Prezzi di AWS KMS.

Per istruzioni su come consentire agli utenti IAM di accedere ai bucket crittografati con KMS, consulta Il mio bucket Amazon S3 dispone di una crittografia predefinita che utilizza una chiave AWS KMS personalizzata. Come posso consentire agli utenti di scaricare e caricare nel bucket? in AWS re:Post Knowledge Center.

Autorizzazioni

Per effettuare correttamente una richiesta PutObject per crittografare un oggetto con una chiave AWS KMS su Amazon S3, sono necessarie le autorizzazioni kms:GenerateDataKey per la chiave. Per scaricare un oggetto crittografato con una AWS KMS key, sono necessarie le autorizzazioni kms:Decrypt per la chiave. Per eseguire un caricamento in più parti per crittografare un oggetto con una AWS KMS key, sono necessarie le autorizzazioni kms:GenerateDataKey e kms:Decrypt per la chiave.

AWS KMS keys

Se utilizzi la crittografia lato server con AWS KMS (SSE-KMS), puoi utilizzare le chiavi gestite da AWS predefinite oppure specificare una chiave gestita dal cliente già creata. AWS KMS supporta la crittografia a busta. S3 utilizza le funzionalità AWS KMS per la crittografia a busta per proteggere ulteriormente i dati. La crittografia a busta consiste nel crittografare i dati di testo non crittografato con una chiave di dati e quindi nel crittografare la chiave di dati con una chiave KMS. Per ulteriori informazioni sulla crittografia envelope, consulta Crittografia envelope nella Guida per sviluppatori di AWS Key Management Service.

Se non specifichi una chiave gestita dal cliente, Amazon S3 crea automaticamente una Chiave gestita da AWS nel tuo Account AWS la prima volta che un oggetto crittografato con SSE-KMS viene aggiunto a un bucket. Per impostazione predefinita, Amazon S3 utilizza questa chiave KMS per SSE-KMS.

Se desideri utilizzare una chiave gestita dal cliente per SSE-KMS, crea una chiave di crittografia simmetrica gestita dal cliente prima di configurare SSE-KMS. Quindi, quando configuri SSE-KMS per il bucket, potrai specificare la chiave gestita dal cliente esistente. Per ulteriori informazioni sulla chiave di crittografia simmetrica, consulta Chiavi KMS di crittografia simmetrica nella Guida per gli sviluppatori di AWS Key Management Service.

La creazione di una chiave gestita dal cliente offre maggiore flessibilità e controllo. Ad esempio, puoi creare, ruotare e disabilitare le chiavi gestite dal cliente. Puoi anche definire controlli di accesso e controllare le chiavi gestite dal cliente utilizzate per proteggere i dati. Per ulteriori informazioni sulle chiavi gestite dal cliente e le chiavi gestite da AWS, consulta Chiavi del cliente e chiavi AWS nella Guida per gli sviluppatori di AWS Key Management Service.

Utilizzo della crittografia SSE-KMS per operazioni multi-account

Quando si utilizza la crittografia per operazioni multi-account, tieni presente quanto segue:

Per ulteriori informazioni su quando utilizzare le chiavi gestite dal cliente e le chiavi KMS gestite da AWS, consulta l'argomento relativo all'uso di una Chiave gestita da AWS o di una chiave gestita dal cliente per crittografare gli oggetti in Amazon S3.

Flusso di lavoro della crittografia SSE-KMS

Se scegli di crittografare i dati utilizzando una Chiave gestita da AWS o una chiave gestita dal cliente, AWS KMS e Amazon S3 eseguono le seguenti operazioni di crittografia a busta:

Quando richiedi che i dati siano decrittografati, Amazon S3 e AWS KMS eseguono le seguenti operazioni:

Verifica della crittografia SSE-KMS

Per identificare le richieste che specificano SSE-KMS, puoi utilizzare i parametri All SSE-KMS requests (Tutte le richieste SSE-KMS) e % all SSE-KMS requests (% tutte le richieste SSE-KMS) nei parametri di Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti. È inoltre possibile utilizzare il conteggio dei bucket abilitati SSE-KMS e la % di bucket abilitati SSE-KMS per capire il conteggio dei bucket che (SSE-KMS) per la crittografia predefinita dei bucket. Per ulteriori informazioni, consulta Valutazione dell'attività e dell'utilizzo dello storage con S3 Storage Lens. Per un elenco completo dei parametri, consulta Glossario dei parametri di S3 Storage.

Per verificare l'utilizzo delle chiavi AWS KMS per i dati crittografati SSE-KMS, è possibile utilizzare i log di AWS CloudTrail. È possibile ottenere informazioni sulle operazioni crittografiche, come ad esempio GenerateDataKey e Decrypt. CloudTrail supporta numerosi valori di attributo per filtrare la ricerca, tra cui nome dell'evento, nome utente e origine dell'evento.

Chiavi bucket Amazon S3

Quando si configura la crittografia lato server tramite AWS KMS (SSE-KMS), è possibile impostare il bucket per l'utilizzo di chiavi di bucket S3 per SSE-KMS. L'utilizzo di una chiave a livello di bucket per SSE-KMS può ridurre i costi delle richieste di AWS KMS fino a 99%, riducendo il traffico di richieste da Amazon S3 a AWS KMS.

Quando si configura il bucket per utilizzare una chiave di bucket S3 per SSE-KMS su nuovi oggetti, AWS KMS genera una chiave a livello di bucket che viene utilizzata per creare chiavi di dati univoche per gli oggetti nel bucket. Questa chiave di bucket S3 viene utilizzata per un periodo di tempo limitato all'interno di Amazon S3, riducendo ulteriormente la necessità di Amazon S3 di effettuare richieste a AWS KMS per completare le operazioni di crittografia. Per ulteriori informazioni sull'utilizzo delle chiavi del bucket S3, consulta la sezione Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

Richiesta della crittografia lato server

Per richiedere la crittografia lato server di tutti gli oggetti in uno specifico bucket Amazon S3, è possibile utilizzare una policy di bucket. Ad esempio, la seguente policy di bucket rifiuta a chiunque l'autorizzazione al caricamento dell'oggetto (s3:PutObject) se la richiesta non include un'intestazione x-amz-server-side-encryption-aws-kms-key-id che richiede la crittografia lato server con SSE-KMS.

JSON

{
   "Version":"2012-10-17",		 	 	 
   "Id":"PutObjectPolicy",
   "Statement":[{
         "Sid":"DenyObjectsThatAreNotSSEKMS",
         "Effect":"Deny",
         "Principal":"*",
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*",
         "Condition":{
            "Null":{
               "s3:x-amz-server-side-encryption-aws-kms-key-id":"true"
            }
         }
      }
   ]
}

Per richiedere l'utilizzo di una specifica AWS KMS key per crittografare gli oggetti in un bucket, puoi utilizzare la chiave di condizione s3:x-amz-server-side-encryption-aws-kms-key-id. Per specificare la chiave KMS, devi utilizzare il nome della risorsa Amazon (ARN) della chiave nel formato arn:aws:kms:region:acct-id:key/key-id. AWS Identity and Access Management non convalida se la stringa per s3:x-amz-server-side-encryption-aws-kms-key-id esiste.

Per un elenco completo delle chiavi di condizione specifiche per Amazon S3, consulta Chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio.

Contesto di crittografia

Un contesto di crittografia è un set di coppie chiave-valore che contiene ulteriori informazioni contestuali sui dati. Il contesto di crittografia non è crittografato. Quando viene specificato un contesto di crittografia per un'operazione di crittografia, Amazon S3 deve specificare lo stesso contesto di crittografia per l'operazione di decrittografia. In caso contrario, la decrittografia ha esito negativo. AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi (AAD) per supportare la crittografia autenticata. Per ulteriori informazioni sul contesto di crittografia, consulta il Contesto di crittografia nella Guida per gli sviluppatori di AWS Key Management Service.

Per impostazione predefinita, Amazon S3 utilizza il nome della risorsa Amazon (ARN) dell'oggetto o del bucket come coppia di contesto di crittografia:

Facoltativamente, è possibile fornire una coppia di contesto di crittografia aggiuntiva utilizzando l'intestazione x-amz-server-side-encryption-context in una richiesta s3:PutObject. Tuttavia, poiché il contesto di crittografia non è crittografato, assicurati che non includa informazioni sensibili. Amazon S3 archivia questa coppia di chiavi aggiuntiva insieme al contesto di crittografia predefinito. Quando elabora la tua richiesta PUT, Amazon S3 aggiunge il contesto di crittografia predefinito di aws:s3:arn a quello che fornisci.

È possibile utilizzare il contesto di crittografia per identificare e categorizzare le operazioni di crittografia. È inoltre possibile utilizzare il valore ARN del contesto di crittografia predefinito per tenere traccia delle richieste pertinenti in AWS CloudTrail visualizzando quale ARN Amazon S3 è stato utilizzato con una specifica chiave di crittografia.

Nel campo requestParameters di un file di log CloudTrail, il contesto di crittografia è simile al seguente.

"encryptionContext": {
    "aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket1/file_name"
}

Quando utilizzi SSE-KMS con la funzione opzionale chiavi bucket S3, il valore di contesto di crittografia è l'ARN del bucket.

"encryptionContext": {
    "aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket1"
}

Invio di richieste per oggetti crittografati mediante AWS KMS

AWS Signature Version 4 rappresenta il processo per aggiungere le informazioni di autenticazione alle richieste AWS inviate da HTTP. Per motivi di sicurezza, la maggior parte delle richieste ad AWS deve essere firmata con una chiave di accesso, composta da un ID chiave di accesso e una chiave di accesso segreta. Queste due chiavi in genere vengono definite come le tue credenziali di sicurezza. Per ulteriori informazioni, consulta le sezioni Autenticazione delle richieste (AWS Signature Version 4) e Processo di firma Signature Version 4.