Crittografia lato server Crittografia in transito Eliminazione dei dati

Protezione e crittografia dei dati

Per ulteriori informazioni su come configurare la crittografia per i bucket di directory, consulta i seguenti argomenti.

Argomenti

Crittografia lato server

Tutti i bucket di directory sono configurati in modo predefinito e tutti i nuovi oggetti caricati nei bucket di directory sono automaticamente crittografati a riposo. La crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket di directory. Se desideri specificare un tipo di crittografia diverso, puoi utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), impostando la configurazione di crittografia predefinita del bucket. Per ulteriori informazioni su SSE-KMS nei bucket di directory, consulta Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket di directory.

Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste CreateSession o nelle richieste di oggetti PUT. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS

SSE-KMS con bucket di directory si differenzia da SSE-KMS con bucket per uso generico per i seguenti aspetti.

La configurazione di SSE-KMS può supportare solo 1 chiave gestita dal cliente per ogni bucket di directory per tutta la durata del bucket. Chiave gestita da AWS (aws/s3) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket.

È possibile identificare la chiave gestita dal cliente specificata per la configurazione SSE-KMS del bucket, nel modo seguente:
- Si effettua una richiesta di operazione API HeadObject per trovare il valore di x-amz-server-side-encryption-aws-kms-key-id nella risposta.
Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.
Per le operazioni API degli endpoint zonali (a livello di oggetto), ad eccezione di e, puoi autenticare CopyObjecte UploadPartCopyautorizzare le richieste per una bassa latenza. CreateSession Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste CreateSession o nelle richieste di oggetti PUT. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificare la crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS

Nelle chiamate all'API degli endpoint Zonal (eccetto CopyObjecte UploadPartCopy), non è possibile sovrascrivere i valori delle impostazioni di crittografia (,, e) dalla richiesta. x-amz-server-side-encryption x-amz-server-side-encryption-aws-kms-key-id x-amz-server-side-encryption-context x-amz-server-side-encryption-bucket-key-enabled CreateSession Non è necessario specificare esplicitamente i valori delle impostazioni di crittografia nelle chiamate API dell'endpoint di zona; Amazon S3 utilizzerà i valori delle impostazioni di crittografia dalla richiesta CreateSession per proteggere i nuovi oggetti nel bucket della directory.

Nota
Quando si utilizza AWS CLI o AWS SDKs, forCreateSession, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. AWS CLI Oppure AWS SDKs utilizza la configurazione di crittografia predefinita del bucket per la richiesta. CreateSession Non è supportato l'annullamento dei valori delle impostazioni di crittografia nella richiesta CreateSession. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto CopyObjecte UploadPartCopy), non è supportata e sostituisce i valori delle impostazioni di crittografia della richiesta. CreateSession
Per CopyObjectcrittografare nuove copie di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando si specificano le impostazioni di crittografia lato server per le nuove copie di oggetti con SSE-KMS, è necessario assicurarsi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket della directory. Per UploadPartCopycrittografare nuove copie di parti di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Non è possibile specificare le impostazioni di crittografia sul lato server per le nuove copie di parti di oggetti con SSE-KMS nelle intestazioni delle richieste. UploadPartCopy Inoltre, le impostazioni di crittografia fornite nella CreateMultipartUploadrichiesta devono corrispondere alla configurazione di crittografia predefinita del bucket di destinazione.
Le S3 Bucket Keys sono sempre abilitate per le operazioni GET e PUT in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite CopyObject, UploadPartCopy, l'operazione Copy in Operazioni in batch o i processi import. In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS.
Quando si specifica una chiave gestita dal cliente AWS KMS per la crittografia nel bucket della directory, utilizzare solo l'ID chiave o l'ARN chiave. Il formato alias della chiave KMS non è supportato.

I bucket di directory non supportano la crittografia lato server a due livelli con () chiavi AWS Key Management Service (DSSE-KMS AWS KMS) o la crittografia lato server con chiavi di crittografia fornite dal cliente (SSE-C).

Crittografia in transito

I bucket della directory utilizzano gli endpoint API regionali e di zona. A seconda dell'operazione API Amazon S3 utilizzata, è necessario un endpoint regionale o zonale. È possibile accedere agli endpoint zonali e regionali tramite un endpoint del cloud privato virtuale (VPC) del gateway. L'utilizzo di endpoint gateway non comporta costi supplementari. Per ulteriori informazioni sugli endpoint API regionali e zonali, consulta Collegamento in rete per i bucket di directory.

Eliminazione dei dati

Puoi eliminare uno o più oggetti direttamente dai tuoi bucket di directory utilizzando la console Amazon S3 AWS SDKs, AWS Command Line Interface ,AWS CLI() o l'API REST di Amazon S3. Tutti gli oggetti nel bucket di directory sono soggetti a costi di archiviazione, pertanto è necessario eliminare gli oggetti non più necessari.

L'eliminazione di un oggetto archiviato in un bucket di directory elimina in modo ricorsivo anche tutte le directory padre, se queste non contengono oggetti diversi dall'oggetto che viene eliminato.

Nota

L'eliminazione dell'autenticazione a più fattori (MFA) e la funzione Controllo delle versioni S3 non sono supportati per S3 Express One Zone.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza per i bucket di directory

Impostazione e monitoraggio della crittografia predefinita del bucket