Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione del bucket per utilizzare una chiave bucket S3 con SSE-KMS per nuovi oggetti
Quando configuri la crittografia lato server con le chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), puoi configurare il bucket per utilizzare una S3 Bucket Key per SSE-KMS su nuovi oggetti. Le S3 Bucket Keys riducono il traffico delle richieste da Amazon S3 AWS KMS a SSE-KMS e riducono il costo. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.
Puoi configurare il tuo bucket per utilizzare una chiave S3 Bucket per SSE-KMS su nuovi oggetti utilizzando la console Amazon S3, l'API REST,, () o. AWS SDKs AWS Command Line Interface AWS CLI AWS CloudFormation Se desideri abilitare o disabilitare una chiave bucket S3 per gli oggetti esistenti, puoi utilizzare un'operazione CopyObject. Per ulteriori informazioni, consulta Configurazione di una chiave bucket S3 a livello di oggetto e Utilizzo delle operazioni in batch per abilitare le chiavi S3 Bucket per SSE-KMS.
Quando una chiave bucket S3 è abilitata per il bucket di origine o di destinazione, il contesto di crittografia sarà l'Amazon Resource Name (ARN) del bucket e non l'ARN dell'oggetto, ad esempio, arn:aws:s3:::. Dovrai aggiornare le policy IAM per utilizzare l'ARN del bucket per il contesto di crittografia. Per ulteriori informazioni, consulta Chiavi bucket S3 e replica.bucket_ARN
Negli esempi seguenti viene illustrato il funzionamento di una chiave bucket S3 con la replica. Per ulteriori informazioni, consulta Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C).
Prerequisiti
Prima di configurare il bucket per utilizzare una chiave bucket S3, consulta Modifiche alla nota prima dell'abilitazione di una chiave bucket S3.
Argomenti
Nella console S3, puoi abilitare o disabilitare una chiave bucket S3 per un bucket nuovo o esistente. Gli oggetti nella console S3 ereditano l'impostazione della chiave bucket S3 dalla configurazione del bucket. Quando abiliti una chiave bucket S3 per il bucket, i nuovi oggetti caricati nel bucket utilizzano una chiave bucket S3 per SSE-KMS.
Caricamento, copia o modifica di oggetti nei bucket che dispongono di una chiave bucket S3 abilitata
Se carichi, modifichi o copi un oggetto in un bucket con una chiave bucket S3 abilitata, le impostazioni della chiave bucket S3 per tale oggetto potrebbero essere aggiornate in modo da allinearsi alla configurazione del bucket.
Se un oggetto ha già una chiave bucket S3 abilitata, le impostazioni della chiave bucket S3 per quell'oggetto non cambiano quando si copia o si modifica l'oggetto. Tuttavia, se modifichi o copi un oggetto che non dispone di una chiave bucket S3 attivata e il bucket di destinazione ha una configurazione con una chiave bucket S3, l'oggetto eredita le impostazioni della chiave bucket S3 del bucket di destinazione. Ad esempio, se l'oggetto di origine non ha una chiave bucket S3 abilitata ma il bucket di destinazione ne ha una, una chiave bucket S3 è abilitata per l'oggetto.
Abilitazione di una chiave bucket S3 quando si crea un nuovo bucket
Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).
-
Seleziona Crea bucket.
-
Inserisci il nome del bucket e scegli la tua Regione AWS.
-
In Crittografia predefinita, scegli Chiave AWS Key Management Service (SSE-KMS) per Tipo di chiave di crittografia.
-
In Chiave AWS KMS effettua una delle seguenti operazioni per scegliere la chiave KMS:
-
Per scegliere da un elenco di chiavi KMS disponibili, scegli Scegli tra le tue AWS KMS keys, quindi scegli la tua chiave KMS dall'elenco delle chiavi disponibili.
In questo elenco vengono visualizzate sia la chiave Chiave gestita da AWS (
aws/s3) che quella gestita dai clienti. Per ulteriori informazioni sulle chiavi gestite dai clienti, consulta Customer keys and AWS keys nella AWS Key Management Service Developer Guide. -
Per specificare l'ARN della chiave KMS, scegli Inserisci l'ARN della AWS KMS key e quindi specifica l'ARN della chiave KMS nel campo visualizzato.
-
Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli Crea una chiave KMS.
Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta Creating Keys nella AWS Key Management Service Developer Guide.
-
-
In Chiave bucket scegli Abilita.
-
Scegliere Create bucket (Crea bucket).
Amazon S3 crea il tuo bucket con una chiave bucket S3 abilitata. I nuovi oggetti caricati nel bucket utilizzeranno una chiave bucket S3.
Per disabilitare una chiave bucket S3, completa i passaggi precedenti e scegli Disabilita.
Abilitazione di una chiave bucket S3 per un bucket esistente
Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).
-
Nell'elenco Bucket scegli il bucket per cui desideri abilitare una chiave bucket S3.
-
Scegliere la scheda Properties (Proprietà).
-
In Default encryption (Crittografia di default), scegliere Edit (Modifica).
-
In Crittografia predefinita, scegli Chiave AWS Key Management Service (SSE-KMS) per Tipo di chiave di crittografia.
-
In Chiave AWS KMS effettua una delle seguenti operazioni per scegliere la chiave KMS:
-
Per scegliere da un elenco di chiavi KMS disponibili, scegli tra le tue AWS KMS keys, quindi scegli la tua chiave KMS dall'elenco delle chiavi disponibili.
In questo elenco vengono visualizzate sia la chiave Chiave gestita da AWS (
aws/s3) che quella gestita dai clienti. Per ulteriori informazioni sulle chiavi gestite dai clienti, consulta Customer keys and AWS keys nella AWS Key Management Service Developer Guide. -
Per specificare l'ARN della chiave KMS, scegli Inserisci l'ARN della AWS KMS key e quindi specifica l'ARN della chiave KMS nel campo visualizzato.
-
Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli Crea una chiave KMS.
Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta Creating Keys nella AWS Key Management Service Developer Guide.
-
-
In Chiave bucket scegli Abilita.
-
Seleziona Salva modifiche.
Amazon S3 abilita una chiave bucket S3 per i nuovi oggetti aggiunti al tuo bucket. Gli oggetti esistenti non utilizzano la chiave bucket S3. Per configurare una chiave bucket S3 per gli oggetti esistenti, è possibile utilizzare un'operazione
CopyObject. Per ulteriori informazioni, consulta Configurazione di una chiave bucket S3 a livello di oggetto.Per disabilitare una chiave bucket S3, completa i passaggi precedenti e scegli Disabilita.
Puoi utilizzarla PutBucketEncryptionper abilitare o disabilitare una S3 Bucket Key per il tuo bucket. Per configurare una S3 Bucket Key conPutBucketEncryption, usa il tipo di ServerSideEncryptionRuledati, che include la crittografia predefinita con SSE-KMS. Puoi inoltre utilizzare una chiave gestita dal cliente specificando l'ID della chiave KMS per la chiave gestita dal cliente.
Per ulteriori informazioni ed esempi di sintassi, consulta. PutBucketEncryption
Nell'esempio seguente viene abilitata la crittografia bucket predefinita con SSE-KMS e una chiave bucket S3 utilizzando la AWS SDK per Java.
Nell'esempio seguente viene abilitata la crittografia bucket predefinita con SSE-KMS e una chiave bucket S3 utilizzando la AWS CLI. Sostituire user input
placeholders
aws s3api put-bucket-encryption --bucketamzn-s3-demo-bucket--server-side-encryption-configuration '{ "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "KMS-Key-ARN" }, "BucketKeyEnabled": true } ] }'
Per ulteriori informazioni sulla configurazione di una S3 Bucket Key con AWS CloudFormation, consulta AWS::S3::Bucket ServerSideEncryptionRulela Guida per l'AWS CloudFormation utente.
