Domande frequenti sulla crittografia predefinita - Amazon Simple Storage Service

Domande frequenti sulla crittografia predefinita

Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. SSE-S3, che utilizza l'algoritmo Advanced Encryption Standard (AES-256) a 256 bit, viene applicato automaticamente a tutti i nuovi bucket e a qualsiasi bucket S3 esistente per il quale non sia già stata configurata la crittografia predefinita. Lo stato della crittografia automatica per la configurazione della crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei log AWS CloudTrail, in S3 Inventory, in S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva nella AWS Command Line Interface (AWS CLI) e negli SDK AWS.

Nelle sezioni seguenti vengono fornite le risposte alle domande su questo aggiornamento.

Amazon S3 modifica le impostazioni della crittografia predefinita per i miei bucket esistenti che hanno già configurato la crittografia predefinita?

No. Non vengono apportate modifiche alla configurazione della crittografia predefinita per un bucket esistente che ha già configurato la crittografia SSES3 o la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSES3). Per ulteriori informazioni su come configurare il comportamento della crittografia predefinita per i bucket, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. Per ulteriori informazioni sulle impostazioni della crittografia SSE-S3 e SSE-KMS, consulta Protezione dei dati con la crittografia lato server.

La crittografia predefinita è abilitata nei miei bucket esistenti che non hanno la crittografia predefinita configurata?

Sì. Amazon S3 ora configura la crittografia predefinita in tutti i bucket non crittografati esistenti per applicare la crittografia lato server con chiavi gestite da S3 come livello base di crittografia per i nuovi oggetti caricati in questi bucket. Gli oggetti già presenti in un bucket non crittografato esistente non verranno crittografati automaticamente.

Come posso visualizzare lo stato della crittografia predefinita dei caricamenti di nuovi oggetti?

Al momento, puoi visualizzare lo stato della crittografia predefinito dei nuovi oggetti caricati nei log AWS CloudTrail, in Amazon S3 Inventory e S3 Inventory Amazon S3, nella console Amazon S3 e nell'intestazione di risposta dell'API Amazon S3 aggiuntiva nella AWS Command Line Interface (AWS CLI) e negli SDK AWS.

  • Per visualizzare gli eventi CloudTrail, consulta Visualizzazione degli eventi CloudTrail nella console CloudTrail nella Guida per l'utente AWS CloudTrail. I log di CloudTrail forniscono il tracciamento delle API per le richieste PUT e POST ad Amazon S3. Quando viene utilizzata la crittografia predefinita per crittografare gli oggetti nei bucket, i log di CloudTrail per le richieste API PUT e POST includeranno il seguente campo come coppia nome-valore: "SSEApplied":"Default_SSE_S3".

  • Per visualizzare lo stato di crittografia automatica dei nuovi caricamenti di oggetti in S3 Inventory, configura un report di S3 Inventory che includa il campo dei metadati Encryption (Crittografia), quindi visualizza lo stato di crittografia di ogni nuovo oggetto nel report. Per ulteriori informazioni, consulta Impostazione di Amazon S3 Inventory.

  • Per visualizzare lo stato di crittografia automatica per i nuovi caricamenti di oggetti in S3 Storage Lens, configura un pannello di controllo di S3 Storage Lens e visualizza le metriche Encrypted bytes (Byte crittografati) e Encrypted object count (Conteggio degli oggetti crittografati) nella categoria Data protection (Protezione dei dati) del pannello di controllo. Per ulteriori informazioni, consulta Utilizzo della console S3 e Visualizzazione dei parametri di S3 Storage Lens nei pannelli di controllo.

  • Per visualizzare lo stato della crittografia automatica a livello di bucket nella console Amazon S3, controlla la crittografia predefinita dei bucket Amazon S3 nella console Amazon S3. Per ulteriori informazioni, consulta Configurazione della crittografia predefinita.

  • Per visualizzare lo stato della crittografia automatica come intestazione di risposta dell'API Amazon S3 aggiuntiva nella AWS Command Line Interface (AWS CLI) e negli SDK AWS, controlla l'intestazione di risposta x-amz-server-side-encryption quando utilizzi le API di operazioni su oggetti, come PutObject e GetObject.

Cosa devo fare per trarre vantaggio da questa modifica?

Non è necessario apportare modifiche alle applicazioni esistenti. Poiché la crittografia predefinita è abilitata per tutti i bucket, tutti i nuovi oggetti caricati in Amazon S3 vengono crittografati automaticamente.

Posso disabilitare la crittografia per i nuovi oggetti che vengono scritti nel mio bucket?

No. SSE-S3 è il nuovo livello di crittografia di base che viene applicato a tutti i nuovi oggetti caricati nel bucket. Non è più possibile disabilitare la crittografia per il caricamento di nuovi oggetti.

Ciò avrà ripercussioni sui miei addebiti?

No. La crittografia predefinita con SSE-S3 è disponibile senza costi aggiuntivi. Ti verranno fatturati lo spazio di archiviazione, le richieste e le altre funzionalità di S3, come al solito. Per informazioni sui prezzi, consulta Prezzi di Amazon S3.

Amazon S3 crittograferà i miei oggetti esistenti non crittografati?

No. A partire dal 5 gennaio 2023, Amazon S3 crittografa automaticamente solo i caricamenti di nuovi oggetti. Per crittografare gli oggetti esistenti, è possibile utilizzare la funzionalità Operazioni in batch Amazon S3 per creare copie crittografate degli oggetti. Queste copie crittografate manterranno i dati e il nome dell'oggetto esistenti e verranno crittografate utilizzando le chiavi di crittografia specificate. Per ulteriori informazioni, consulta Crittografia degli oggetti con Operazioni in batch Amazon S3 nel Blog dell’archiviazione AWS.

Non ho abilitato la crittografia per i miei bucket prima di questa versione. Devo cambiare la modalità di accesso agli oggetti?

No. La crittografia predefinita con SSE-S3 consente di crittografare automaticamente i dati durante la scrittura in Amazon S3 e di eseguire la decrittografia al momento dell'accesso. Non vi è alcuna modifica nel modo in cui si accede agli oggetti crittografati automaticamente.

Devo cambiare il modo in cui accedo ai miei oggetti con crittografia lato client?

No. Tutti gli oggetti con crittografia lato client crittografati prima di essere caricati in Amazon S3 arrivano come oggetti di testo criptato crittografati all'interno di Amazon S3. Questi oggetti avranno ora un livello di crittografia SSE-S3 aggiuntivo. I carichi di lavoro che utilizzano oggetti con crittografia lato client non richiederanno alcuna modifica ai servizi client o alle impostazioni di autorizzazione.

Nota

Gli utenti di HashiCorp Terraform che non utilizzano una versione aggiornata del fornitore AWS potrebbero riscontrare una tendenza imprevista dopo aver creato nuovi bucket S3 senza alcuna configurazione di crittografia definita dal cliente. Per evitare questa tendenza, aggiorna la versione del fornitore AWS Terraform a una delle seguenti versioni: qualsiasi versione 4.x, 3.76.1 o 2.70.4.