Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riduzione dei costi SSE-KMS con Amazon S3 Bucket Keys
Amazon S3 Bucket Keys riduce il costo della crittografia lato server di Amazon S3 con () keys (). AWS Key Management Service AWS KMS SSE-KMS L'utilizzo di una chiave a livello di bucket per SSE-KMS può ridurre i costi delle AWS KMS richieste fino al 99 percento diminuendo il traffico delle richieste da Amazon S3 a. AWS KMS Con pochi clic e senza alcuna modifica alle applicazioni client Console di gestione AWS, puoi configurare il bucket in modo che utilizzi una chiave S3 Bucket per la crittografia di nuovi oggetti. SSE-KMS
Nota
Le S3 Bucket Keys non sono supportate per la crittografia lato server a doppio livello con () keys (). AWS Key Management Service AWS KMS DSSE-KMS
S3 Bucket Keys per SSE-KMS
I carichi di lavoro che accedono a milioni o miliardi di oggetti crittografati SSE-KMS possono generare grandi volumi di richieste verso. AWS KMS Quando usi SSE-KMS per proteggere i tuoi dati senza una S3 Bucket Key, Amazon S3 utilizza una chiave dati AWS KMS individuale per ogni oggetto. In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta su un KMS-encrypted oggetto. Per informazioni su come SSE-KMS funziona, consultaUtilizzo della crittografia lato server con AWS KMS chiavi () SSE-KMS.
Quando configuri il bucket per utilizzare una chiave S3 Bucket SSE-KMS, AWS genera una chiave a livello di bucket di breve durata da AWS KMS, quindi la conserva temporaneamente in S3. Questa chiave a livello di bucket creerà chiavi di dati per i nuovi oggetti durante il relativo ciclo di vita. Le S3 Bucket Key vengono utilizzate per un periodo di tempo limitato all'interno di Amazon S3, riducendo la necessità per S3 di effettuare richieste AWS KMS per completare le operazioni di crittografia. Ciò riduce il traffico da S3 a AWS KMS, consentendoti di accedere AWS KMS agli oggetti crittografati in Amazon S3 a una frazione del costo precedente.
Le chiavi univoche a livello di bucket vengono recuperate almeno una volta per richiedente per garantire che l'accesso del richiedente alla chiave venga acquisito in un evento. AWS KMS CloudTrail Amazon S3 tratta i chiamanti come richiedenti diversi quando utilizzano ruoli o account diversi o lo stesso ruolo con politiche di ambito diverse. AWS KMS i risparmi sulle richieste riflettono il numero di richiedenti, i modelli di richiesta e l'età relativa degli oggetti richiesti. Ad esempio, un numero inferiore di richiedenti, la richiesta di più oggetti in una finestra temporale limitata e la crittografia con la stessa chiave a livello di bucket comportano un risparmio maggiore.
Nota
L'utilizzo di S3 Bucket Keys ti consente di risparmiare sui costi delle AWS KMS richieste diminuendo le richieste a AWS KMS for Encrypt e le Decrypt operazioni tramite l'uso di una chiave a livello di bucket. GenerateDataKey In base alla progettazione, le richieste successive che sfruttano questa chiave a livello di bucket non generano richieste AWS KMS API né convalidano l'accesso in base alla policy della chiave. AWS KMS
Quando si configura una chiave bucket S3, gli oggetti già presenti nel bucket non utilizzano la chiave Bucket S3. Per configurare una chiave bucket S3 per gli oggetti esistenti, è possibile utilizzare un'operazione CopyObject. Per ulteriori informazioni, consulta Configurazione di una chiave bucket S3 a livello di oggetto.
Amazon S3 condividerà una chiave S3 bucket solo per gli oggetti crittografati dalla stessa AWS KMS key. Le S3 Bucket Keys sono compatibili con le chiavi KMS create da AWS KMS, il materiale chiave importato e il materiale chiave supportato da archivi di chiavi personalizzati.
Configurazione delle chiavi bucket S3
Puoi configurare il tuo bucket per utilizzare una chiave S3 Bucket per SSE-KMS nuovi oggetti tramite la console Amazon S3, gli AWS SDK o l'API REST. AWS CLI Con S3 Bucket Keys abilitati sul tuo bucket, gli oggetti caricati con una SSE-KMS chiave specificata diversa utilizzeranno le proprie S3 Bucket Keys. Indipendentemente dall'impostazione della chiave di bucket S3, puoi includere l'intestazione x-amz-server-side-encryption-bucket-key-enabledcon un valore true o false or nella richiesta, per sovrascrivere l'impostazione del bucket.
Prima di configurare il bucket per utilizzare una chiave bucket S3, consulta Modifiche alla nota prima dell'abilitazione di una chiave bucket S3.
Configurazione di una chiave bucket S3 tramite la console di Amazon S3
Quando crei un nuovo bucket, puoi configurarlo in modo che utilizzi una S3 Bucket Key per nuovi oggetti. SSE-KMS Puoi anche configurare un bucket esistente per utilizzare una S3 Bucket Key SSE-KMS su nuovi oggetti aggiornando le proprietà del bucket.
Per ulteriori informazioni, consulta Configurazione del bucket per l'utilizzo di una S3 Bucket Key per nuovi oggetti SSE-KMS.
API DI RIPOSO, AWS CLI e AWS Supporto SDK per S3 Bucket Keys
Puoi utilizzare l'API REST o l' AWS SDK per configurare il tuo bucket in modo che utilizzi una S3 Bucket Key su nuovi oggetti. AWS CLI SSE-KMS Puoi inoltre abilitare una chiave bucket S3 a livello di oggetto.
Per ulteriori informazioni, consulta gli argomenti seguenti:
Le seguenti operazioni API supportano S3 Bucket Keys per: SSE-KMS
-
-
ServerSideEncryptionRuleaccetta il parametroBucketKeyEnabledper abilitare e disabilitare una chiave bucket S3.
-
-
-
ServerSideEncryptionRulerestituisce le impostazioni perBucketKeyEnabled.
-
-
PutObject, CopyObjectCreateMultipartUpload, e oggetto POST
-
L'intestazione della richiesta
x-amz-server-side-encryption-bucket-key-enabledabilita o disabilita una chiave bucket S3 a livello di oggetto.
-
-
HeadObject, GetObject, UploadPartCopy, UploadPart, e CompleteMultipartUpload
-
L'intestazione della risposta
x-amz-server-side-encryption-bucket-key-enabledindica se una chiave bucket S3 è abilitata o disabilitata per un oggetto.
-
Lavorare con CloudFormation
In CloudFormation, la AWS::S3::Bucket risorsa include una proprietà di crittografia denominata BucketKeyEnabled che puoi utilizzare per abilitare o disabilitare una S3 Bucket Key.
Per ulteriori informazioni, consulta Utilizzo CloudFormation.
Modifiche alla nota prima dell'abilitazione di una chiave bucket S3
Prima di abilitare una chiave bucket S3, tieni presente le seguenti modifiche correlate:
IAM o AWS KMS policy della chiave
Se le tue policy AWS Identity and Access Management (IAM) o le policy AWS KMS chiave esistenti utilizzano il tuo oggetto Amazon Resource Name (ARN) come contesto di crittografia per perfezionare o limitare l'accesso alla tua chiave KMS, queste policy non funzioneranno con una S3 Bucket Key. Le chiavi bucket S3 utilizzano l'ARN del bucket come contesto di crittografia. Prima di abilitare una chiave S3 Bucket, aggiorna le policy IAM o le policy AWS KMS chiave per utilizzare l'ARN del bucket come contesto di crittografia.
Per ulteriori informazioni sul contesto di crittografia e sulle chiavi bucket S3, consulta Contesto di crittografia.
CloudTrail eventi per AWS KMS
Dopo aver abilitato una S3 Bucket Key, AWS KMS CloudTrail gli eventi registrano l'ARN del bucket anziché l'ARN dell'oggetto. Inoltre, nei log vengono visualizzati meno CloudTrail eventi KMS relativi agli oggetti. SSE-KMS Poiché il materiale chiave è limitato nel tempo in Amazon S3, vengono inviate meno richieste. AWS KMS
Utilizzo di una chiave bucket S3 con la replica
Puoi utilizzare S3 Bucket Keys with Same-Region Replication (SRR) e Replication (CRR). Cross-Region
Quando Amazon S3 replica un oggetto crittografato, in genere conserva le impostazioni di crittografia dell'oggetto di replica nel bucket di destinazione. Tuttavia, se l'oggetto di origine non è crittografato e il bucket di destinazione utilizza la crittografia predefinita o una chiave bucket S3, Amazon S3 crittografa l'oggetto con la configurazione del bucket di destinazione.
Negli esempi seguenti viene illustrato il funzionamento di una chiave bucket S3 con la replica. Per ulteriori informazioni, consulta Replica di oggetti crittografati (,,,) SSE-S3 SSE-KMS DSSE-KMS SSE-C.
Esempio Esempio 1: l'oggetto di origine utilizza le chiavi bucket S3 e il bucket di destinazione usa la crittografia predefinita
Se l'oggetto di origine utilizza una chiave S3 Bucket ma il bucket di destinazione utilizza la crittografia predefinita con SSE-KMS, l'oggetto replica mantiene le impostazioni di crittografia S3 Bucket Key nel bucket di destinazione. Il bucket di destinazione utilizza ancora la crittografia predefinita con. SSE-KMS
Esempio Esempio 2: l'oggetto di origine non è crittografato; il bucket di destinazione utilizza una chiave S3 Bucket con SSE-KMS
Se l'oggetto di origine non è crittografato e il bucket di destinazione utilizza una chiave S3 Bucket con SSE-KMS, l'oggetto di replica viene crittografato utilizzando una chiave S3 Bucket nel bucket di destinazione. SSE-KMS Ciò fa sì che l'ETag dell'oggetto di origine sia diverso dall'ETag dell'oggetto replicato. È necessario aggiornare le applicazioni che utilizzano l'ETag per tenere conto di tale differenza.
Operazioni con le chiavi bucket S3
Per ulteriori informazioni sull'abilitazione e l'utilizzo di chiavi bucket S3, consulta le sezioni seguenti:
