Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Protezione e crittografia dei dati
<a name="s3-express-data-protection"></a>

 Per ulteriori informazioni su come configurare la crittografia per i bucket di directory, consulta i seguenti argomenti.

**Topics**
+ [Server-side crittografia](#s3-express-ecnryption)
+ [Impostazione e monitoraggio della crittografia predefinita per i bucket di directory](s3-express-bucket-encryption.md)
+ [Utilizzo della crittografia lato server con AWS KMS keys (SSE-KMS) nei bucket di directory](s3-express-UsingKMSEncryption.md)
+ [Crittografia dei dati in transito](#s3-express-ecnryption-transit)
+ [Eliminazione dei dati](#s3-express-data-deletion)

## Server-side crittografia
<a name="s3-express-ecnryption"></a>

La crittografia di tutti i bucket di directory è configurata per impostazione predefinita e tutti i nuovi oggetti caricati nei bucket di directory vengono crittografati automaticamente quando sono inattivi. Server-side la crittografia con chiavi gestite di Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket di directory. Se desideri specificare un tipo di crittografia diverso, puoi utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) keys (SSE-KMS), impostando la configurazione di crittografia predefinita del bucket. Per ulteriori informazioni sui bucket SSE-KMS in directory, consulta. [Utilizzo della crittografia lato server con AWS KMS keys (SSE-KMS) nei bucket di directory](s3-express-UsingKMSEncryption.md)

Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, vedere [Specificazione della crittografia lato server con per il caricamento di nuovi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html) oggetti. AWS KMS 

SSE-KMS con i bucket di directory si differenzia dai bucket di uso generico per i seguenti aspetti SSE-KMS .
+ La SSE-KMS configurazione può supportare solo 1 [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per bucket di directory per tutta la durata del bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione del bucket. SSE-KMS 

  È possibile identificare la chiave gestita dal cliente specificata per la SSE-KMS configurazione del bucket nel modo seguente:
  + Si effettua una richiesta di operazione API `HeadObject` per trovare il valore di `x-amz-server-side-encryption-aws-kms-key-id` nella risposta.

  Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.
+ Per le [operazioni API degli endpoint zonali (a livello di oggetto)](s3-express-differences.md#s3-express-differences-api-operations), ad eccezione di [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), puoi autenticare e autorizzare le richieste per una bassa latenza. [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. [Per crittografare nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory una chiave KMS (in particolare, una chiave gestita dal cliente).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Quindi, quando viene creata una sessione per le operazioni dell'API degli endpoint Zonal, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS le chiavi S3 Bucket durante la sessione. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)

  Nelle chiamate all'API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è possibile sovrascrivere i valori delle impostazioni di crittografia (,, e) dalla richiesta. `x-amz-server-side-encryption` `x-amz-server-side-encryption-aws-kms-key-id` `x-amz-server-side-encryption-context` `x-amz-server-side-encryption-bucket-key-enabled` `CreateSession` Non è necessario specificare esplicitamente i valori delle impostazioni di crittografia nelle chiamate API dell'endpoint di zona; Amazon S3 utilizzerà i valori delle impostazioni di crittografia dalla richiesta `CreateSession` per proteggere i nuovi oggetti nel bucket della directory. 
**Nota**  
Quando si utilizzano gli AWS CLI AWS SDK, for`CreateSession`, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. Gli AWS CLI o gli AWS SDK utilizzano la configurazione di crittografia predefinita del bucket per la richiesta. `CreateSession` Non è supportato l'annullamento dei valori delle impostazioni di crittografia nella richiesta `CreateSession`. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è supportata e sostituisce i valori delle impostazioni di crittografia della richiesta. `CreateSession` 
+ [Per [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)crittografare nuove copie di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory una chiave KMS (in particolare, una chiave gestita dal cliente).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Quindi, quando si specificano le impostazioni di crittografia sul lato server per le nuove copie di oggetti con SSE-KMS, è necessario assicurarsi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket di directory. [Per [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)crittografare nuove copie di parti di oggetti in un bucket di directory SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory una chiave KMS (in particolare, una chiave gestita dal cliente).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Non è possibile specificare le impostazioni di crittografia sul lato server per le nuove copie di parti dell'oggetto nelle intestazioni della richiesta. SSE-KMS [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Inoltre, le impostazioni di crittografia fornite nella [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)richiesta devono corrispondere alla configurazione di crittografia predefinita del bucket di destinazione. 
+ Le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket di directory e non possono essere disabilitate. [Le S3 Bucket Key non sono supportate quando copi oggetti SSE-KMS crittografati da bucket generici a bucket di directory, da bucket di directory a bucket generici o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)l'[operazione Copy in Batch](directory-buckets-objects-Batch-Ops.md) Operations o i job. [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)import](create-import-job.md) In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un KMS-encrypted oggetto.
+ Quando si specifica una [chiave gestita dal cliente AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia nel bucket della directory, utilizzare solo l'ID chiave o l'ARN chiave. Il formato alias della chiave KMS non è supportato.

I bucket di directory non supportano la crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) keys () o la crittografia lato server con chiavi di crittografia fornite dal cliente (DSSE-KMS). SSE-C

## Crittografia dei dati in transito
<a name="s3-express-ecnryption-transit"></a>

I bucket della directory utilizzano gli endpoint API regionali e di zona. A seconda dell'operazione API Amazon S3 utilizzata, è necessario un endpoint regionale o zonale. È possibile accedere agli endpoint zonali e regionali tramite un endpoint del cloud privato virtuale (VPC) del gateway. L'utilizzo di endpoint gateway non comporta costi supplementari. Per ulteriori informazioni sugli endpoint API regionali e zonali, consulta [Collegamento in rete per i bucket di directory](s3-express-networking.md). 

## Eliminazione dei dati
<a name="s3-express-data-deletion"></a>

Puoi eliminare uno o più oggetti direttamente dai tuoi bucket di directory utilizzando la console Amazon S3, gli SDK AWS AWS Command Line Interface ,AWS CLI() o l'API REST di Amazon S3. Tutti gli oggetti nel bucket di directory sono soggetti a costi di archiviazione, pertanto è necessario eliminare gli oggetti non più necessari.

L'eliminazione di un oggetto archiviato in un bucket di directory elimina in modo ricorsivo anche tutte le directory padre, se queste non contengono oggetti diversi dall'oggetto che viene eliminato.

**Nota**  
Multi-factor l'eliminazione dell'autenticazione (MFA) e il controllo delle versioni S3 non sono supportati per S3 Express One Zone.