Protezione e crittografia dei dati - Amazon Simple Storage Service
Crittografia lato serverCrittografia in transitoEliminazione dei dati

Protezione e crittografia dei dati

Per ulteriori informazioni su come configurare la crittografia per i bucket di directory, consulta i seguenti argomenti.

Argomenti

Crittografia lato server

Tutti i bucket di directory sono configurati in modo predefinito e tutti i nuovi oggetti caricati nei bucket di directory sono automaticamente crittografati a riposo. La crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket di directory. Se si desidera specificare un tipo di crittografia diverso, è possibile utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), impostando la configurazione di crittografia predefinita del bucket. Per ulteriori informazioni su SSE-KMS nei bucket di directory, consulta Utilizzo della crittografia lato server con chiavi AWS KMS (SSE-KMS) nei bucket di directory.

Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste CreateSession o nelle richieste di oggetti PUT. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specifica della crittografia lato server con AWS KMS per il caricamento di nuovi oggetti.

SSE-KMS con bucket di directory si differenzia da SSE-KMS con bucket per uso generico per i seguenti aspetti.

  • La configurazione di SSE-KMS può supportare solo 1 chiave gestita dal cliente per ogni bucket di directory per tutta la durata del bucket. Chiave gestita da AWS (aws/s3) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket.

    È possibile identificare la chiave gestita dal cliente specificata per la configurazione SSE-KMS del bucket, nel modo seguente:

    • Si effettua una richiesta di operazione API HeadObject per trovare il valore di x-amz-server-side-encryption-aws-kms-key-id nella risposta.

    Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.

  • Per le operazioni API di endpoint di zona (a livello di oggetto), ad eccezione di CopyObject e UploadPartCopy, si autenticano e autorizzano le richieste tramite CreateSession per ottenere una bassa latenza. Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste CreateSession o nelle richieste di oggetti PUT. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specifica della crittografia lato server con AWS KMS per il caricamento di nuovi oggetti.

    Nelle chiamate API dell’endpoint di zona (tranne CopyObject e UploadPartCopy), non è possibile sovrascrivere i valori delle impostazioni di crittografia (x-amz-server-side-encryption, x-amz-server-side-encryption-aws-kms-key-id, x-amz-server-side-encryption-context e x-amz-server-side-encryption-bucket-key-enabled) dalla richiesta CreateSession. Non è necessario specificare esplicitamente i valori delle impostazioni di crittografia nelle chiamate API dell'endpoint di zona; Amazon S3 utilizzerà i valori delle impostazioni di crittografia dalla richiesta CreateSession per proteggere i nuovi oggetti nel bucket della directory.

    Nota

    Quando si utilizzano gli SDK AWS CLI o AWS, per CreateSession, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio quando una sessione scade. Gli SDK AWS CLI o AWS utilizzano la configurazione di cifratura predefinita del bucket per la richiesta CreateSession. Non è supportato l'annullamento dei valori delle impostazioni di crittografia nella richiesta CreateSession. Inoltre, nelle chiamate API dell'endpoint di zona (eccetto CopyObject e UploadPartCopy), non è supportato sovrascrivere i valori delle impostazioni di crittografia dalla richiesta CreateSession.

  • Per CopyObject, per crittografare le copie di nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando si specificano le impostazioni di crittografia lato server per le nuove copie di oggetti con SSE-KMS, è necessario assicurarsi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket della directory. Per UploadPartCopy, per crittografare le nuove copie di parti di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Non è possibile specificare le impostazioni di crittografia lato server per le nuove copie di parti di oggetti con SSE-KMS nelle intestazioni della richiesta UploadPartCopy. Inoltre, le impostazioni di crittografia fornite nella richiesta CreateMultipartUpload devono corrispondere alla configurazione di crittografia predefinita del bucket di destinazione.

  • Le S3 Bucket Keys sono sempre abilitate per le operazioni GET e PUT in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite CopyObject, UploadPartCopy, l'operazione Copy in Operazioni in batch o i processi import. In questo caso, Amazon S3 effettua una chiamata a AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato da KMS.

  • Quando si specifica una chiave gestita dal cliente AWS KMS per la crittografia nel bucket della directory, utilizzare solo l'ID chiave o l'ARN chiave. Il formato alias della chiave KMS non è supportato.

I bucket di directory non supportano la crittografia a doppio livello lato server con chiavi AWS Key Management Service (AWS KMS) (DSSE-KMS) o la crittografia lato server con chiavi di crittografia fornite dal cliente (SSE-C).

Crittografia in transito

I bucket della directory utilizzano gli endpoint API regionali e di zona. A seconda dell'operazione API Amazon S3 utilizzata, è necessario un endpoint regionale o zonale. È possibile accedere agli endpoint zonali e regionali tramite un endpoint del cloud privato virtuale (VPC) del gateway. L'utilizzo di endpoint gateway non comporta costi supplementari. Per ulteriori informazioni sugli endpoint API regionali e zonali, consulta Collegamento in rete per i bucket di directory.

Eliminazione dei dati

È possibile eliminare uno o più oggetti direttamente dai bucket della directory utilizzando la console Amazon S3, gli SDK AWS, AWS Command Line Interface (AWS CLI) o la REST API di Amazon S3. Tutti gli oggetti nel bucket di directory sono soggetti a costi di archiviazione, pertanto è necessario eliminare gli oggetti non più necessari.

L'eliminazione di un oggetto archiviato in un bucket di directory elimina in modo ricorsivo anche tutte le directory padre, se queste non contengono oggetti diversi dall'oggetto che viene eliminato.

Nota

L'eliminazione dell'autenticazione a più fattori (MFA) e la funzione Controllo delle versioni S3 non sono supportati per S3 Express One Zone.