Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza per i bucket di directory
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza. La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gira Servizi AWS su Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori di terze parti testano e verificano periodicamente l'efficacia della sicurezza come parte del [https://aws.amazon.com/compliance/programs/](https://aws.amazon.com/compliance/programs/).
Per conoscere i programmi di conformità, consulta [https://aws.amazon.com/compliance/services-in-scope/](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dall'uso Servizio AWS che utilizzi. L'utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e le leggi e le normative applicabili.
Questa documentazione vi aiuterà a capire come applicare il modello di responsabilità condivisa quando si utilizzano i bucket di directory. I seguenti argomenti illustrano come configurare i bucket della directory per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a usarne altri Servizi AWS che possono aiutarti a monitorare e proteggere i tuoi oggetti nei bucket di directory.
# Protezione e crittografia dei dati
Per ulteriori informazioni su come configurare la crittografia per i bucket di directory, consulta i seguenti argomenti.
**Topics**
+ [Crittografia lato server](#s3-express-ecnryption)
+ [Impostazione e monitoraggio della crittografia predefinita per i bucket di directory](s3-express-bucket-encryption.md)
+ [Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket di directory](s3-express-UsingKMSEncryption.md)
+ [Crittografia dei dati in transito](#s3-express-ecnryption-transit)
+ [Eliminazione dei dati](#s3-express-data-deletion)
## Crittografia lato server
Tutti i bucket di directory sono configurati in modo predefinito e tutti i nuovi oggetti caricati nei bucket di directory sono automaticamente crittografati a riposo. La crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) è la configurazione di crittografia predefinita per ogni bucket di directory. Se desideri specificare un tipo di crittografia diverso, puoi utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), impostando la configurazione di crittografia predefinita del bucket. Per ulteriori informazioni su SSE-KMS nei bucket di directory, consulta [Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket di directory](s3-express-UsingKMSEncryption.md).
Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)
SSE-KMS con bucket di directory si differenzia da SSE-KMS con bucket per uso generico per i seguenti aspetti.
+ La configurazione di SSE-KMS può supportare solo 1 [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per ogni bucket di directory per tutta la durata del bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket.
È possibile identificare la chiave gestita dal cliente specificata per la configurazione SSE-KMS del bucket, nel modo seguente:
+ Si effettua una richiesta di operazione API `HeadObject` per trovare il valore di `x-amz-server-side-encryption-aws-kms-key-id` nella risposta.
Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.
+ Per le [operazioni API degli endpoint zonali (a livello di oggetto)](s3-express-differences.md#s3-express-differences-api-operations), ad eccezione di e, è possibile autenticare [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)autorizzare le richieste per una bassa latenza. [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificare la crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)
Nelle chiamate all'API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è possibile sovrascrivere i valori delle impostazioni di crittografia (,, e) dalla richiesta. `x-amz-server-side-encryption` `x-amz-server-side-encryption-aws-kms-key-id` `x-amz-server-side-encryption-context` `x-amz-server-side-encryption-bucket-key-enabled` `CreateSession` Non è necessario specificare esplicitamente i valori delle impostazioni di crittografia nelle chiamate API dell'endpoint di zona; Amazon S3 utilizzerà i valori delle impostazioni di crittografia dalla richiesta `CreateSession` per proteggere i nuovi oggetti nel bucket della directory.
**Nota**
Quando si utilizza AWS CLI o AWS SDKs, for`CreateSession`, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. AWS CLI Oppure AWS SDKs utilizza la configurazione di crittografia predefinita del bucket per la richiesta. `CreateSession` Non è supportato l'annullamento dei valori delle impostazioni di crittografia nella richiesta `CreateSession`. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è supportata e sostituisce i valori delle impostazioni di crittografia della richiesta. `CreateSession`
+ [Per [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)crittografare nuove copie di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Quindi, quando si specificano le impostazioni di crittografia lato server per le nuove copie di oggetti con SSE-KMS, è necessario assicurarsi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket della directory. Per [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)crittografare nuove copie di parti di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Non è possibile specificare le impostazioni di crittografia sul lato server per le nuove copie di parti di oggetti con SSE-KMS nelle intestazioni delle richieste. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Inoltre, le impostazioni di crittografia fornite nella [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)richiesta devono corrispondere alla configurazione di crittografia predefinita del bucket di destinazione.
+ Le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [l'operazione Copy in Operazioni in batch](directory-buckets-objects-Batch-Ops.md) o i [processi import](create-import-job.md). In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS.
+ Quando si specifica una [chiave gestita dal cliente AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia nel bucket della directory, utilizzare solo l'ID chiave o l'ARN chiave. Il formato alias della chiave KMS non è supportato.
I bucket di directory non supportano la crittografia lato server a due livelli con () chiavi AWS Key Management Service (DSSE-KMS AWS KMS) o la crittografia lato server con chiavi di crittografia fornite dal cliente (SSE-C).
# Impostazione e monitoraggio della crittografia predefinita per i bucket di directory
I bucket Amazon S3 hanno la crittografia dei bucket abilitata per impostazione predefinita; i nuovi oggetti vengono crittografati automaticamente utilizzando la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Questa crittografia si applica a tutti i nuovi oggetti nei bucket Amazon S3 e non comporta costi aggiuntivi.
Se hai bisogno di un maggiore controllo sulle chiavi di crittografia, ad esempio per gestire la rotazione delle chiavi e le concessioni delle policy di accesso, puoi scegliere di utilizzare la crittografia lato server con chiavi () (SSE-KMS). AWS Key Management Service AWS KMS
**Nota**
Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)
Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione.
Quando si imposta la crittografia predefinita del bucket su SSE-KMS, le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket della directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [l'operazione Copy in Operazioni in batch](directory-buckets-objects-Batch-Ops.md) o i [processi import](create-import-job.md). In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS. Per ulteriori informazioni su come S3 Bucket Keys riduce i AWS KMS costi delle richieste, consulta. [Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3](bucket-key.md)
Quando si specifica una [chiave gestita dal cliente AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia nel bucket della directory, utilizzare solo l'ID chiave o l'ARN chiave. Il formato alias della chiave KMS non è supportato.
La crittografia lato server a doppio livello con AWS KMS chiavi (DSSE-KMS) e la crittografia lato server con chiavi fornite dal cliente (SSE-C) non sono supportate per la crittografia predefinita nei bucket di directory.
Per ulteriori informazioni sulla configurazione della crittografia predefinita, consulta [Configurazione della crittografia predefinita](default-bucket-encryption.md).
Per ulteriori informazioni sulle autorizzazioni richieste per la crittografia predefinita, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) nella *Documentazione di riferimento delle API di Amazon Simple Storage Service*.
Puoi configurare la crittografia predefinita di Amazon S3 per un bucket S3 utilizzando la console Amazon S3, l'API REST di AWS SDKs Amazon S3 e (). AWS Command Line Interface AWS CLI
## Utilizzo della console S3
**Per configurare la crittografia predefinita per un bucket Amazon S3**
1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Nel pannello di navigazione a sinistra, scegli **Buckets** (Bucket).
1. Nell'elenco **Bucket** scegli il nome del bucket desiderato.
1. Scegliere la scheda **Properties (Proprietà)**.
1. In **Impostazioni di crittografia lato server**, i bucket della directory utilizzano la crittografia lato server con **Chiavi gestite da Amazon S3 (SSE-S3)**.
1. Scegli **Save changes** (Salva modifiche).
## Utilizzando il AWS CLI
Questi esempi mostrano come configurare la crittografia predefinita utilizzando la crittografia gestita da Amazon S3 (SSE-S3) o la crittografia SSE-KMS con una chiave bucket S3.
Per ulteriori informazioni sulla crittografia predefinita, consulta [Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3](bucket-encryption.md). Per ulteriori informazioni sull'utilizzo della AWS CLI configurazione della crittografia predefinita, vedere [put-bucket-encryption](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-encryption.html).
**Example - Crittografia predefinita con SSE-S3**
In questo esempio viene configurata la crittografia predefinita dei bucket con le chiavi gestite da Amazon S3. Per utilizzare il comando, sostituisci *user input placeholders* con le informazioni appropriate.
```
aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "AES256"
}
}
]
}'
```
**Example - Crittografia predefinita con SSE-KMS utilizzando una chiave bucket S3**
In questo esempio viene configurata la crittografia predefinita del bucket con SSE-KMS utilizzando una chiave bucket S3. Per utilizzare il comando, sostituisci *user input placeholders* con le informazioni appropriate.
```
aws s3api put-bucket-encryption --bucket bucket-base-name--zone-id--x-s3 --server-side-encryption-configuration '{
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "aws:kms",
"KMSMasterKeyID": "KMS-Key-ARN"
},
"BucketKeyEnabled": true
}
]
}'
```
## Utilizzo della REST API
Utilizza l'operazione REST API `PutBucketEncryption` per impostare la crittografia predefinita con un tipo di crittografia lato server da utilizzare: SSE-S3 o SSE-KMS.
Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTencryption.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service).
## Utilizzo del AWS SDKs
Durante l'utilizzo AWS SDKs, puoi richiedere che Amazon S3 venga utilizzato AWS KMS keys per la crittografia lato server. Gli esempi seguenti AWS SDKs per Java e.NET configurano la configurazione di crittografia predefinita per un bucket di directory con SSE-KMS e una chiave S3 Bucket. Per informazioni su altri SDKs, consulta [Codice di esempio e](https://aws.amazon.com/code) librerie nel Developer Center. AWS
**Importante**
Quando utilizzi una chiave KMS AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Amazon S3 supporta solo chiavi KMS di crittografia simmetrica. Per ulteriori informazioni sulle chiavi, consulta [Chiavi KMS di crittografia simmetrica](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) nella *Guida per gli sviluppatori di AWS Key Management Service *.
------
#### [ Java ]
Con AWS SDK for Java 2.x, puoi richiedere ad Amazon S3 di utilizzare un AWS KMS key metodo utilizzando il `applyServerSideEncryptionByDefault` metodo per specificare la configurazione di crittografia predefinita del tuo bucket di directory per la crittografia dei dati con SSE-KMS. Si crea una chiave KMS di crittografia simmetrica e la si specifica nella richiesta.
```
import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.PutBucketEncryptionRequest;
import software.amazon.awssdk.services.s3.model.ServerSideEncryption;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionByDefault;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionConfiguration;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionRule;
public class Main {
public static void main(String[] args) {
S3Client s3 = S3Client.create();
String bucketName = "bucket-base-name--zoneid--x-s3";
String kmsKeyId = "your-kms-customer-managed-key-id";
// AWS managed KMS keys aren't supported. Only customer-managed keys are supported.
ServerSideEncryptionByDefault serverSideEncryptionByDefault = ServerSideEncryptionByDefault.builder()
.sseAlgorithm(ServerSideEncryption.AWS_KMS)
.kmsMasterKeyID(kmsKeyId)
.build();
// The bucketKeyEnabled field is enforced to be true.
ServerSideEncryptionRule rule = ServerSideEncryptionRule.builder()
.bucketKeyEnabled(true)
.applyServerSideEncryptionByDefault(serverSideEncryptionByDefault)
.build();
ServerSideEncryptionConfiguration serverSideEncryptionConfiguration = ServerSideEncryptionConfiguration.builder()
.rules(rule)
.build();
PutBucketEncryptionRequest putRequest = PutBucketEncryptionRequest.builder()
.bucket(bucketName)
.serverSideEncryptionConfiguration(serverSideEncryptionConfiguration)
.build();
s3.putBucketEncryption(putRequest);
}
}
```
*Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta [Programming the AWS KMS API nella](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html) Developer Guide.AWS Key Management Service *
Per esempi di codice di utilizzo per il caricamento di un oggetto, consulta gli argomenti elencati di seguito. Per usare questi esempi dovrai aggiornare gli esempi di codice e fornire informazioni sulla crittografia come mostrato nel frammento di codice precedente.
+ Per il caricamento di un oggetto in un'unica operazione, consulta [Caricamento di oggetti in un bucket di directory](directory-buckets-objects-upload.md).
+ Per le operazioni API di caricamento multiparte, consulta [Utilizzo dei caricamenti multiparte con i bucket di directory](s3-express-using-multipart-upload.md).
------
#### [ .NET ]
Con AWS SDK per .NET, puoi richiedere ad Amazon S3 di utilizzare un AWS KMS key utilizzando la `ServerSideEncryptionByDefault` proprietà per specificare la configurazione di crittografia predefinita del tuo bucket di directory per la crittografia dei dati con SSE-KMS. Si crea una chiave di crittografia simmetrica gestita dal cliente e la si specifica nella richiesta.
```
// Set the bucket server side encryption to use AWSKMS with a customer-managed key id.
// bucketName: Name of the directory bucket. "bucket-base-name--zonsid--x-s3"
// kmsKeyId: The Id of the customer managed KMS Key. "your-kms-customer-managed-key-id"
// Returns True if successful.
public static async Task SetBucketServerSideEncryption(string bucketName, string kmsKeyId)
{
var serverSideEncryptionByDefault = new ServerSideEncryptionConfiguration
{
ServerSideEncryptionRules = new List
{
new ServerSideEncryptionRule
{
ServerSideEncryptionByDefault = new ServerSideEncryptionByDefault
{
ServerSideEncryptionAlgorithm = ServerSideEncryptionMethod.AWSKMS,
ServerSideEncryptionKeyManagementServiceKeyId = kmsKeyId
}
}
}
};
try
{
var encryptionResponse =await _s3Client.PutBucketEncryptionAsync(new PutBucketEncryptionRequest
{
BucketName = bucketName,
ServerSideEncryptionConfiguration = serverSideEncryptionByDefault,
});
return encryptionResponse.HttpStatusCode == HttpStatusCode.OK;
}
catch (AmazonS3Exception ex)
{
Console.WriteLine(ex.ErrorCode == "AccessDenied"
? $"This account does not have permission to set encryption on {bucketName}, please try again."
: $"Unable to set bucket encryption for bucket {bucketName}, {ex.Message}");
}
return false;
}
```
*Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta [Programming the AWS KMS API nella](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html) Developer Guide.AWS Key Management Service *
Per esempi di codice di utilizzo per il caricamento di un oggetto, consulta gli argomenti elencati di seguito. Per usare questi esempi dovrai aggiornare gli esempi di codice e fornire informazioni sulla crittografia come mostrato nel frammento di codice precedente.
+ Per il caricamento di un oggetto in un'unica operazione, consulta [Caricamento di oggetti in un bucket di directory](directory-buckets-objects-upload.md).
+ Per le operazioni API di caricamento multiparte, consulta [Utilizzo dei caricamenti multiparte con i bucket di directory](s3-express-using-multipart-upload.md).
------
## Monitoraggio della crittografia predefinita per i bucket di directory con AWS CloudTrail
È possibile tenere traccia delle richieste di configurazione della crittografia predefinita per i bucket di directory Amazon S3 utilizzando gli eventi AWS CloudTrail . I seguenti nomi di eventi API vengono utilizzati nei CloudTrail log:
+ `PutBucketEncryption`
+ `GetBucketEncryption`
+ `DeleteBucketEncryption`
**Nota**
EventBridge non è supportato nei bucket di directory.
La crittografia lato server a doppio livello con chiavi AWS Key Management Service (AWS KMS) (DSSE-KMS) o la crittografia lato server con chiavi di crittografia fornite dal cliente (SSE-C) non sono supportate nei bucket di directory.
Per ulteriori informazioni sul monitoraggio della crittografia predefinita con AWS CloudTrail, consulta [Monitoraggio della crittografia predefinita con AWS CloudTrail e Amazon EventBridge](bucket-encryption-tracking.md).
# Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS) nei bucket di directory
I controlli di sicurezza integrati AWS KMS possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia. Puoi scegliere di configurare i bucket di directory per utilizzare la crittografia lato server con AWS Key Management Service (AWS KMS) chiavi (SSE-KMS) e utilizzare queste chiavi KMS per proteggere i dati nei bucket di directory Amazon S3. Per ulteriori informazioni su SSE-KMS, consulta [Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS](UsingKMSEncryption.md).
**Permissions**
Per caricare o scaricare un oggetto crittografato con o AWS KMS key da Amazon S3, sono necessarie `kms:GenerateDataKey` le `kms:Decrypt` autorizzazioni sulla chiave. Per ulteriori informazioni, consulta l'argomento relativo all'[autorizzazione concessa agli utenti delle chiavi di utilizzare una chiave KMS per le operazioni di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-users-crypto) nella *Guida per gli sviluppatori di AWS Key Management Service *. Per informazioni sulle AWS KMS autorizzazioni necessarie per i caricamenti in più parti, consulta. [Autorizzazioni e API per il caricamento in più parti](mpuoverview.md#mpuAndPermissions)
Per ulteriori informazioni sulle chiavi KMS per SSE-KMS, consulta [Specificare la crittografia lato server con AWS KMS (SSE-KMS)](specifying-kms-encryption.md).
**Topics**
+ [AWS KMS keys](#s3-express-aws-managed-customer-managed-keys)
+ [Utilizzo di SSE-KMS per le operazioni tra account](#s3-express-bucket-encryption-update-bucket-policy)
+ [Chiavi bucket Amazon S3](#s3-express-sse-kms-bucket-keys)
+ [Richiesta di SSE-KMS](#s3-express-require-sse-kms)
+ [Contesto di crittografia](#s3-express-encryption-context)
+ [Invio di richieste per AWS KMS oggetti crittografati](#s3-express-aws-signature-version-4-sse-kms)
+ [Verifica della crittografia SSE-KMS nei bucket di directory](#s3-express-bucket-encryption-sse-auditing)
+ [Specificazione della crittografia lato server con AWS KMS (SSE-KMS) per il caricamento di nuovi oggetti nei bucket di directory](s3-express-specifying-kms-encryption.md)
## AWS KMS keys
La configurazione di SSE-KMS può supportare solo 1 [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per ogni bucket di directory per tutta la durata del bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket.
È possibile identificare la chiave gestita dal cliente specificata per la configurazione SSE-KMS del bucket, nel modo seguente:
+ Si effettua una richiesta di operazione API `HeadObject` per trovare il valore di `x-amz-server-side-encryption-aws-kms-key-id` nella risposta.
Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.
Quando si specifica una [chiave gestita dal cliente AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia nel bucket della directory, utilizzare solo l'ID chiave o l'ARN chiave. Il formato alias della chiave KMS non è supportato.
Per ulteriori informazioni sulle chiavi KMS per SSE-KMS, consulta [AWS KMS keys](UsingKMSEncryption.md#aws-managed-customer-managed-keys).
## Utilizzo di SSE-KMS per le operazioni tra account
Quando si utilizza la crittografia per le operazioni tra account nei bucket della directory, tieni presente quanto segue:
+ Se desideri garantire l'accesso multi-account agli oggetti S3, configura una policy di una chiave gestita dal cliente per consentire l'accesso da un altro account.
+ Per specificare una chiave gestita dal cliente, è necessario utilizzare un ARN di chiave KMS completamente qualificato.
## Chiavi bucket Amazon S3
Le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [l'operazione Copy in Operazioni in batch](directory-buckets-objects-Batch-Ops.md) o i [processi import](create-import-job.md). In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS.
Per le [operazioni API degli endpoint zonali (a livello di oggetto)](s3-express-differences.md#s3-express-differences-api-operations), ad eccezione di [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), puoi autenticare e autorizzare le richieste per una bassa latenza. [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificare la crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)
Le S3 Bucket Key vengono utilizzate per un periodo di tempo limitato all'interno di Amazon S3, riducendo ulteriormente la necessità per Amazon S3 di effettuare richieste per completare le operazioni di crittografia. AWS KMS Per ulteriori informazioni sull'uso delle chiavi S3 Bucket, consulta [Chiavi bucket Amazon S3](UsingKMSEncryption.md#sse-kms-bucket-keys) e [Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3](bucket-key.md).
## Richiesta di SSE-KMS
Per richiedere SSE-KMS a tutti gli oggetti di un particolare bucket di directory, è possibile utilizzare una policy di bucket. Ad esempio, quando si utilizza l'operazione API `CreateSession` per concedere il permesso di caricare un nuovo oggetto (`PutObject`, `CopyObject` e `CreateMultipartUpload`), la seguente policy del bucket nega il permesso di caricare l'oggetto (`s3express:CreateSession`) a tutti se la richiesta `CreateSession` non include un'intestazione `x-amz-server-side-encryption-aws-kms-key-id` che richiede SSE-KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"UploadObjectPolicy",
"Statement":[{
"Sid":"DenyObjectsThatAreNotSSEKMS",
"Effect":"Deny",
"Principal":"*",
"Action":"s3express:CreateSession",
"Resource":"arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
"Condition":{
"Null":{
"s3express:x-amz-server-side-encryption-aws-kms-key-id":"true"
}
}
}
]
}
```
------
Per richiedere che un particolare AWS KMS key venga utilizzato per crittografare gli oggetti in un bucket, puoi utilizzare la chiave di condizione. `s3express:x-amz-server-side-encryption-aws-kms-key-id` Per specificare la chiave KMS, devi utilizzare una chiave Amazon Resource Name (ARN) nel `arn:aws:kms:region:acct-id:key/key-id` formato. AWS Identity and Access Management non convalida se la stringa for esiste. `s3express:x-amz-server-side-encryption-aws-kms-key-id` L'ID della AWS KMS chiave utilizzato da Amazon S3 per la crittografia degli oggetti deve corrispondere all'ID della AWS KMS chiave nella policy, altrimenti Amazon S3 nega la richiesta.
Per ulteriori informazioni su come utilizzare SSE-KMS per il caricamento di nuovi oggetti, consulta [Specificazione della crittografia lato server con AWS KMS (SSE-KMS) per il caricamento di nuovi oggetti nei bucket di directory](s3-express-specifying-kms-encryption.md).
Per un elenco completo delle chiavi di condizione specifiche per i bucket di directory, consulta [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md).
## Contesto di crittografia
Per i bucket di directory, un *contesto di crittografia* è un insieme di coppie chiave-valore che contiene informazioni contestuali sui dati. Non è supportato un valore aggiuntivo del contesto di crittografia. Per ulteriori informazioni sul contesto di crittografia, consulta [Contesto di crittografia](UsingKMSEncryption.md#encryption-context).
Per impostazione predefinita, se si utilizza SSE-KMS su un bucket di directory, Amazon S3 utilizza il nome della risorsa Amazon (ARN) del bucket come coppia di contesto di crittografia:
```
arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3
```
Assicurati che le policy IAM o le policy AWS KMS chiave utilizzino l'ARN del bucket come contesto di crittografia.
Facoltativamente, puoi fornire una coppia di contesti di crittografia espliciti utilizzando l'`x-amz-server-side-encryption-context`intestazione in una richiesta API di un endpoint Zonal, ad esempio. [ CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html#API_CreateSession_RequestSyntax) Il valore di questa intestazione è una stringa codificata Base64 di un JSON codificato UTF-8, che contiene il contesto di crittografia come coppie chiave-valore. Per i bucket di directory, il contesto di crittografia deve corrispondere al contesto di crittografia predefinito: il nome della risorsa Amazon (ARN) del bucket. Inoltre, poiché il contesto di crittografia non è criptato, assicurarsi che non contenga informazioni sensibili.
È possibile utilizzare il contesto di crittografia per identificare e categorizzare le operazioni di crittografia. È inoltre possibile utilizzare il valore ARN del contesto di crittografia predefinito per tenere traccia delle richieste pertinenti AWS CloudTrail visualizzando in quale bucket di directory l'ARN è stato utilizzato con quale chiave di crittografia.
Nel `requestParameters` campo di un file di CloudTrail registro, se si utilizza SSE-KMS su un bucket di directory, il valore del contesto di crittografia è l'ARN del bucket.
```
"encryptionContext": {
"aws:s3express:arn": "arn:aws:s3:::arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
}
```
Inoltre, per la crittografia degli oggetti con SSE-KMS in un bucket di directory, AWS KMS CloudTrail gli eventi registrano l'ARN del bucket anziché l'ARN dell'oggetto.
## Invio di richieste per AWS KMS oggetti crittografati
È possibile accedere ai bucket di directory solo tramite HTTPS (TLS). Inoltre, i bucket di directory firmano le richieste utilizzando AWS Signature Version 4 (SigV4). Per ulteriori informazioni sull'invio di richieste di oggetti AWS KMS crittografati, vedere. [Invio di richieste per oggetti AWS KMS crittografati](UsingKMSEncryption.md#aws-signature-version-4-sse-kms)
Se l'oggetto utilizza SSE-KMS, non inviare intestazioni di richiesta di crittografia per le richieste `GET` e `HEAD`. In caso contrario, riceverai un errore HTTP 400 Bad Request (HTTP 400 - Richiesta non valida).
## Verifica della crittografia SSE-KMS nei bucket di directory
Per verificare l'utilizzo delle AWS KMS chiavi per i dati crittografati SSE-KMS, è possibile utilizzare i log. AWS CloudTrail Puoi ottenere informazioni dettagliate sulle tue [operazioni crittografiche](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations), ad esempio e. [https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html](https://docs.aws.amazon.com/kms/latest/developerguide/ct-generatedatakey.html) CloudTrail supporta numerosi [valori di attributo](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) per filtrare la ricerca, tra cui il nome dell'evento, il nome utente e l'origine dell'evento.
**Topics**
+ [AWS KMS keys](#s3-express-aws-managed-customer-managed-keys)
+ [Utilizzo di SSE-KMS per le operazioni tra account](#s3-express-bucket-encryption-update-bucket-policy)
+ [Chiavi bucket Amazon S3](#s3-express-sse-kms-bucket-keys)
+ [Richiesta di SSE-KMS](#s3-express-require-sse-kms)
+ [Contesto di crittografia](#s3-express-encryption-context)
+ [Invio di richieste per AWS KMS oggetti crittografati](#s3-express-aws-signature-version-4-sse-kms)
+ [Verifica della crittografia SSE-KMS nei bucket di directory](#s3-express-bucket-encryption-sse-auditing)
+ [Specificazione della crittografia lato server con AWS KMS (SSE-KMS) per il caricamento di nuovi oggetti nei bucket di directory](s3-express-specifying-kms-encryption.md)
# Specificazione della crittografia lato server con AWS KMS (SSE-KMS) per il caricamento di nuovi oggetti nei bucket di directory
Per i bucket di directory, per crittografare i dati con la crittografia lato server, puoi utilizzare la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) (impostazione predefinita) o la crittografia lato server con () chiavi (SSE-KMS). AWS Key Management Service AWS KMS Si consiglia di utilizzare la configurazione di crittografia predefinita del bucket e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificazione della crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)
Tutti i bucket Amazon S3 hanno la crittografia configurata per impostazione predefinita e tutti i nuovi oggetti caricati in un bucket S3 vengono automaticamente crittografati quando sono a riposo. La crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3) è la configurazione predefinita della crittografia per ogni bucket di Amazon S3. Se si desidera specificare un tipo di crittografia diverso per un bucket di directory, è possibile utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). [Chiave gestita da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. La configurazione di SSE-KMS può supportare solo 1 [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per ogni bucket di directory per tutta la durata del bucket. Dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket. Quindi, quando si specificano le impostazioni di crittografia lato server per i nuovi oggetti con SSE-KMS, è necessario assicurarsi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket della directory. Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.
È possibile applicare la crittografia quando stai caricando un nuovo oggetto o copiando un oggetto esistente. Se si modifica la crittografia di un oggetto, viene creato un nuovo oggetto per sostituire quello precedente.
È possibile specificare SSE-KMS utilizzando le operazioni dell'API REST e il (). AWS SDKs AWS Command Line Interface AWS CLI
**Nota**
Per i bucket di directory, i comportamenti di esclusione della crittografia sono i seguenti:
Quando si utilizza l'[CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)API REST per autenticare e autorizzare le richieste API degli endpoint Zonal, ad eccezione di [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), è possibile sovrascrivere le impostazioni di crittografia impostando SSE-S3 o SSE-KMS solo se in precedenza è stata specificata la crittografia predefinita del bucket con SSE-KMS.
Quando si utilizza [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)con AWS CLI o per autenticare e autorizzare le richieste API degli endpoint Zonal, AWS SDKs ad eccezione di e, non è possibile sovrascrivere affatto le impostazioni di crittografia. [CopyObject[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
Quando si effettuano [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)richieste, è possibile sostituire le impostazioni di crittografia in SSE-S3 o SSE-KMS solo se in precedenza è stata specificata la crittografia predefinita del bucket con SSE-KMS. Quando si effettuano richieste, non è possibile sovrascrivere le impostazioni di crittografia. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
Puoi usare più regioni AWS KMS keys in Amazon S3. Tuttavia, Amazon S3 attualmente tratta le chiavi multiregionali come se fossero chiavi monoregionali e non utilizza le caratteristiche multiregionali della chiave. Per ulteriori informazioni, consulta [ Utilizzo delle chiavi multi-regione](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Se si desidera utilizzare una chiave KMS di proprietà di un altro account, è necessario avere l'autorizzazione a utilizzarla. Per ulteriori informazioni sulle autorizzazioni tra account per le chiavi KMS, vedi [Creazione di chiavi KMS utilizzabili da altri account](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) nella *Guida per gli sviluppatori di AWS Key Management Service *.
## Utilizzo della REST API
**Nota**
Per ogni bucket di directory è supportata una sola [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per tutta la durata del bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. Dopo aver specificato SSE-KMS come configurazione di crittografia predefinita del bucket con una chiave gestita dal cliente, non è possibile modificare la chiave gestita dal cliente per la configurazione SSE-KMS del bucket.
Per le [operazioni API degli endpoint zonali (a livello di oggetto), ad eccezione [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)di e, puoi](s3-express-differences.md#s3-express-differences-api-operations) autenticare e autorizzare le richieste per una bassa latenza. [UploadPartCopy[CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Si consiglia di utilizzare la crittografia predefinita del bucket con le configurazioni di crittografia desiderate e di non sovrascrivere la crittografia predefinita del bucket nelle richieste `CreateSession` o nelle richieste di oggetti `PUT`. I nuovi oggetti vengono quindi crittografati automaticamente con le impostazioni di crittografia desiderate. Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione. [Per ulteriori informazioni sui comportamenti di sovrascrittura della crittografia nei bucket di directory, consulta Specificare la crittografia lato server con per il caricamento di nuovi oggetti. AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)
Nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)) che utilizzano l'API REST, non è possibile sovrascrivere i valori delle impostazioni di crittografia (,, e) dalla richiesta. `x-amz-server-side-encryption` `x-amz-server-side-encryption-aws-kms-key-id` `x-amz-server-side-encryption-context` `x-amz-server-side-encryption-bucket-key-enabled` `CreateSession` Non è necessario specificare esplicitamente i valori delle impostazioni di crittografia nelle chiamate API dell'endpoint di zona; Amazon S3 utilizzerà i valori delle impostazioni di crittografia dalla richiesta `CreateSession` per proteggere i nuovi oggetti nel bucket della directory.
**Nota**
Quando si utilizza AWS CLI o AWS SDKs, for`CreateSession`, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. AWS CLI Oppure AWS SDKs utilizza la configurazione di crittografia predefinita del bucket per la richiesta. `CreateSession` Non è supportato l'annullamento dei valori delle impostazioni di crittografia nella richiesta `CreateSession`. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è supportato l'override dei valori delle impostazioni di crittografia della richiesta. `CreateSession`
[Per [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)crittografare nuove copie di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Quindi, quando si specificano le impostazioni di crittografia lato server per le nuove copie di oggetti con SSE-KMS, è necessario assicurarsi che la chiave di crittografia sia la stessa chiave gestita dal cliente specificata per la configurazione di crittografia predefinita del bucket della directory. Per [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)crittografare nuove copie di parti di oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Non è possibile specificare le impostazioni di crittografia sul lato server per le nuove copie di parti di oggetti con SSE-KMS nelle intestazioni delle richieste. [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) Inoltre, le impostazioni di crittografia fornite nella [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)richiesta devono corrispondere alla configurazione di crittografia predefinita del bucket di destinazione.
**Topics**
+ [Operazioni REST API di Amazon S3 che supportano SSE-KMS](#s3-express-sse-request-headers-kms)
+ [Contesto di crittografia (`x-amz-server-side-encryption-context`)](#s3-express-s3-kms-encryption-context)
+ [AWS KMS ID chiave () `x-amz-server-side-encryption-aws-kms-key-id`](#s3-express-s3-kms-key-id-api)
+ [Chiavi bucket S3 (`x-amz-server-side-encryption-aws-bucket-key-enabled`)](#s3-express-bucket-key-api)
### Operazioni REST API di Amazon S3 che supportano SSE-KMS
Le seguenti operazioni REST API a livello di oggetto nei bucket di directory accettano le intestazioni di richiesta `x-amz-server-side-encryption`, `x-amz-server-side-encryption-aws-kms-key-id`e `x-amz-server-side-encryption-context`.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)— Quando si utilizzano le operazioni API Zonal Endpoint (a livello di oggetto) (eccetto CopyObject e UploadPartCopy), è possibile specificare queste intestazioni di richiesta.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html): quando carichi i dati utilizzando l'operazione API `PUT`, è possibile specificare queste intestazioni di richiesta.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) - Quando si copia un oggetto, si ha un oggetto di origine e un oggetto di destinazione. Quando si passano le intestazioni SSE-KMS con l'operazione `CopyObject`, queste vengono applicate solo all'oggetto di destinazione.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) - Quando si caricano oggetti di grandi dimensioni utilizzando l'operazione API di caricamento multiparte, è possibile specificare queste intestazioni. Queste intestazioni vengono specificate nella richiesta `CreateMultipartUpload`.
Le intestazioni di risposta delle seguenti operazioni REST API restituiscono l'intestazione `x-amz-server-side-encryption` quando un oggetto viene memorizzato utilizzando la crittografia lato server.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
**Importante**
Tutte le richieste di `GET` e `PUT` per un oggetto protetto da AWS KMS falliscono se non si effettuano queste richieste utilizzando il Transport Layer Security (TLS) o la Signature Version 4.
Se il tuo oggetto utilizza SSE-KMS, non inviare le intestazioni delle richieste di crittografia per `GET` richieste e `HEAD` richieste, altrimenti riceverai un errore HTTP 400. BadRequest
### Contesto di crittografia (`x-amz-server-side-encryption-context`)
Se si specifica `x-amz-server-side-encryption:aws:kms`, l'API di Amazon S3 consente di fornire facoltativamente un contesto di crittografia esplicito con l'intestazione `x-amz-server-side-encryption-context`. Per i bucket di directory, un contesto di crittografia è un insieme di coppie chiave-valore che contengono informazioni contestuali sui dati. Il valore deve corrispondere al contesto di crittografia predefinito: il nome della risorsa Amazon (ARN) per il bucket. Non è supportato un valore aggiuntivo del contesto di crittografia.
Per informazioni sul contesto di crittografia nei bucket di directory, consulta [Contesto di crittografia](s3-express-UsingKMSEncryption.md#s3-express-encryption-context). Per informazioni generali sul contesto di crittografia, consulta [Concetti di AWS Key Management Service : Contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) nella *Guida per gli sviluppatori di AWS Key Management Service *.
### AWS KMS ID chiave () `x-amz-server-side-encryption-aws-kms-key-id`
Puoi utilizzare l'intestazione `x-amz-server-side-encryption-aws-kms-key-id` per specificare l'ID della chiave gestita dal cliente utilizzata per proteggere i dati.
La configurazione di SSE-KMS può supportare solo 1 [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per ogni bucket di directory per tutta la durata del bucket. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) non è supportato. Inoltre, dopo aver specificato una chiave gestita dal cliente per SSE-KMS, non è possibile sovrascrivere la chiave gestita dal cliente per la configurazione SSE-KMS del bucket.
È possibile identificare la chiave gestita dal cliente specificata per la configurazione SSE-KMS del bucket, nel modo seguente:
+ Si effettua una richiesta di operazione API `HeadObject` per trovare il valore di `x-amz-server-side-encryption-aws-kms-key-id` nella risposta.
Per utilizzare una nuova chiave gestita dal cliente per i propri dati, si consiglia di copiare gli oggetti esistenti in un nuovo bucket della directory con una nuova chiave gestita dal cliente.
Per informazioni sul contesto di crittografia nei bucket di directory, consulta [AWS KMS keys](s3-express-UsingKMSEncryption.md#s3-express-aws-managed-customer-managed-keys).
### Chiavi bucket S3 (`x-amz-server-side-encryption-aws-bucket-key-enabled`)
Le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [l'operazione Copy in Operazioni in batch](directory-buckets-objects-Batch-Ops.md) o i [processi import](create-import-job.md). In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS. Per informazioni sulle chiavi dei bucket S3 nei bucket di directory, consulta [Contesto di crittografia](s3-express-UsingKMSEncryption.md#s3-express-encryption-context).
## Utilizzando il AWS CLI
**Nota**
Quando si utilizza AWS CLI, for`CreateSession`, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. Non è supportato sovrascrivere i valori delle impostazioni di crittografia per la richiesta `CreateSession`. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è supportato l'override dei valori delle impostazioni di crittografia della richiesta. `CreateSession`
Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione.
Per utilizzare i seguenti AWS CLI comandi di esempio, sostituiscili `user input placeholders` con le tue informazioni.
Quando caricate un nuovo oggetto o copiate un oggetto esistente, potete specificare l'uso della crittografia lato server con AWS KMS chiavi per crittografare i dati. A tal fine, utilizzare il comando `put-bucket-encryption` per impostare la configurazione di crittografia predefinita del bucket della directory come SSE-KMS (`aws:kms`). In particolare, aggiungi l'intestazione `--server-side-encryption aws:kms` alla richiesta. Utilizza il `--ssekms-key-id example-key-id` per aggiungere la [AWS KMS chiave gestita dal cliente](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#customer-cmk) che hai creato. Se lo specifichi`--server-side-encryption aws:kms`, devi fornire un ID AWS KMS chiave della tua chiave gestita dal cliente. I bucket di directory non utilizzano una chiave AWS gestita. Per un comando di esempio, consulta [Utilizzando il AWS CLI](s3-express-bucket-encryption.md#s3-express-default-bucket-encryption-cli).
Quindi, quando si carica un nuovo oggetto con il seguente comando, Amazon S3 utilizza le impostazioni del bucket per la crittografia predefinita per crittografare l'oggetto in modo predefinito.
```
aws s3api put-object --bucket bucket-base-name--zone-id--x-s3 --key example-object-key --body filepath
```
Non è necessario aggiungere esplicitamente `-\-bucket-key-enabled` nei comandi delle operazioni API dell'endpoint di zona. Le S3 Bucket Keys sono sempre abilitate per le operazioni `GET` e `PUT` in un bucket di directory e non possono essere disabilitate. Le chiavi dei bucket S3 non sono supportate quando si copiano oggetti con crittografia SSE-KMS da bucket per uso generico a bucket di directory, da bucket di directory a bucket per uso generico o tra bucket di directory, tramite [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [l'operazione Copy in Operazioni in batch](directory-buckets-objects-Batch-Ops.md) o i [processi import](create-import-job.md). In questo caso, Amazon S3 effettua una chiamata AWS KMS ogni volta che viene effettuata una richiesta di copia per un oggetto crittografato con KMS.
È possibile copiare un oggetto da un bucket di origine (ad esempio, un bucket per uso generico) in un nuovo bucket (ad esempio, un bucket di directory) e utilizzare la crittografia SSE-KMS per gli oggetti di destinazione. A tal fine, utilizza il comando `put-bucket-encryption` per impostare la configurazione di crittografia predefinita del bucket di destinazione (ad esempio, un bucket di directory) come SSE-KMS (`aws:kms`). Per un comando di esempio, consulta [Utilizzando il AWS CLI](s3-express-bucket-encryption.md#s3-express-default-bucket-encryption-cli). Quindi, quando si copia un oggetto con il seguente comando, Amazon S3 utilizza le impostazioni del bucket per la crittografia predefinita per crittografare l'oggetto per impostazione predefinita.
```
aws s3api copy-object --copy-source amzn-s3-demo-bucket/example-object-key --bucket bucket-base-name--zone-id--x-s3 --key example-object-key
```
## Usando il AWS SDKs
Durante l'utilizzo AWS SDKs, puoi richiedere che Amazon S3 venga utilizzato AWS KMS keys per la crittografia lato server. Gli esempi seguenti mostrano come usare SSE-KMS con Java e.NET. AWS SDKs Per informazioni su altri SDKs, consulta [Codice di esempio e librerie](https://aws.amazon.com/code) nel AWS Developer Center.
**Nota**
Quando si utilizza AWS SDKs, for`CreateSession`, il token di sessione si aggiorna automaticamente per evitare interruzioni del servizio alla scadenza di una sessione. Non è supportato sovrascrivere i valori delle impostazioni di crittografia per la richiesta `CreateSession`. Inoltre, nelle chiamate API degli endpoint Zonal (eccetto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), non è supportato l'override dei valori delle impostazioni di crittografia della richiesta. `CreateSession`
Per crittografare i nuovi oggetti in un bucket di directory con SSE-KMS, è necessario specificare SSE-KMS come configurazione di crittografia predefinita del bucket di directory con una chiave KMS (in particolare, una chiave gestita dal cliente). Quindi, quando viene creata una sessione per le operazioni API dell'endpoint di zona, i nuovi oggetti vengono automaticamente crittografati e decrittografati con SSE-KMS e S3 Bucket Keys durante la sessione.
Per ulteriori informazioni sull'utilizzo AWS SDKs per impostare la configurazione di crittografia predefinita di un bucket di directory come SSE-KMS, vedere. [Utilizzo del AWS SDKs](s3-express-bucket-encryption.md#s3-express-kms-put-bucket-encryption-using-sdks)
**Importante**
Quando utilizzi una chiave KMS AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Amazon S3 supporta solo chiavi KMS di crittografia simmetrica. Per ulteriori informazioni sulle chiavi, consulta [Chiavi KMS di crittografia simmetrica](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#symmetric-cmks) nella *Guida per gli sviluppatori di AWS Key Management Service *.
*Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta [Programming the API nella AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/programming-top.html) Developer Guide.AWS Key Management Service *
## Crittografia dei dati in transito
I bucket della directory utilizzano gli endpoint API regionali e di zona. A seconda dell'operazione API Amazon S3 utilizzata, è necessario un endpoint regionale o zonale. È possibile accedere agli endpoint zonali e regionali tramite un endpoint del cloud privato virtuale (VPC) del gateway. L'utilizzo di endpoint gateway non comporta costi supplementari. Per ulteriori informazioni sugli endpoint API regionali e zonali, consulta [Collegamento in rete per i bucket di directory](s3-express-networking.md).
## Eliminazione dei dati
Puoi eliminare uno o più oggetti direttamente dai tuoi bucket di directory utilizzando la console Amazon S3 AWS SDKs, AWS Command Line Interface ,AWS CLI() o l'API REST di Amazon S3. Tutti gli oggetti nel bucket di directory sono soggetti a costi di archiviazione, pertanto è necessario eliminare gli oggetti non più necessari.
L'eliminazione di un oggetto archiviato in un bucket di directory elimina in modo ricorsivo anche tutte le directory padre, se queste non contengono oggetti diversi dall'oggetto che viene eliminato.
**Nota**
L'eliminazione dell'autenticazione a più fattori (MFA) e la funzione Controllo delle versioni S3 non sono supportati per S3 Express One Zone.
# Autenticazione e autorizzazione delle richieste
Per impostazione predefinita, i bucket di directory sono privati e l'accesso è possibile solo dagli utenti a cui è concesso esplicitamente l'accesso. Il limite di controllo degli accessi per i bucket di directory è impostato solo a livello di bucket. Al contrario, il limite di controllo degli accessi per i bucket per uso generico può essere impostato a livello di bucket, prefisso o tag dell'oggetto. Questa differenza significa che i bucket di directory sono l'unica risorsa che puoi includere nelle policy dei bucket o nelle policy di identità IAM per l'accesso a S3 Express One Zone.
Amazon S3 Express One Zone supporta sia l'autorizzazione AWS Identity and Access Management (AWS IAM) che l'autorizzazione basata sulla sessione:
+ Per utilizzare le operazioni API endpoint regionali (operazioni a livello di bucket, o piano di controllo (control-plane)) con S3 Express One Zone, si utilizza il modello di autorizzazione IAM, che non prevede la gestione delle sessioni. Le autorizzazioni sono concesse per le singole azioni. Per ulteriori informazioni, consulta [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md).
+ Per utilizzare le operazioni API endpoint di zona (operazioni a livello di oggetto o di piano dati), ad eccezione di `CopyObject` e `HeadBucket`, si utilizza l'operazione API `CreateSession` per creare e gestire sessioni ottimizzate per l'autorizzazione a bassa latenza delle richieste di dati. Per recuperare e utilizzare un token di sessione, è necessario consentire l'azione `s3express:CreateSession` per il bucket della directory in una policy basata sull'identità o in una policy di bucket. Per ulteriori informazioni, consulta [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md). Se accedi a S3 Express One Zone nella console Amazon S3, tramite AWS Command Line Interface AWS CLI() o utilizzando AWS SDKs, S3 Express One Zone crea una sessione per tuo conto.
Con l'operazione API `CreateSession`, si autenticano e autorizzano le richieste attraverso un nuovo meccanismo basato sulla sessione. Puoi utilizzare `CreateSession` per richiedere credenziali temporanee che forniscono un accesso a bassa latenza al bucket. Queste credenziali temporanee sono definite per un bucket di directory specifico.
Per utilizzarlo`CreateSession`, ti consigliamo di utilizzare la versione più recente di AWS SDKs o di utilizzare (). AWS Command Line Interface AWS CLI L'assistenza AWS SDKs e la AWS CLI gestione della sessione, l'aggiornamento e la chiusura per tuo conto.
Utilizza i token di sessione solo con operazioni (a livello di oggetto) zonali (fatta eccezione per `CopyObject` e `HeadBucket`) per distribuire la latenza associata all'autorizzazione su un determinato numero di richieste in una sessione. Per operazioni API degli endpoint regionali (operazioni a livello di bucket), viene utilizzata l'autorizzazione IAM, che non prevede la gestione di una sessione. Per ulteriori informazioni, consultare [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md) e [Autorizzazione delle operazioni API dell'endpoint di zona con `CreateSession`](s3-express-create-session.md).
## Come vengono autenticate e autorizzate le operazioni API
La tabella seguente elenca le informazioni di autenticazione e autorizzazione per le operazioni API del bucket della directory. Per ogni operazione API, la tabella mostra il nome dell'operazione API, l'azione della policy IAM, il tipo di endpoint (regionale o di zona) e il meccanismo di autorizzazione (IAM o basato sulla sessione). Questa tabella indica anche se è supportato l'accesso multi-account. L'accesso alle azioni a livello di bucket può essere concesso solo nelle policy basate sull'identità IAM (utente o ruolo) e non nelle policy dei bucket.
| "Hello, World\$1" | Tipo di endpoint | Azione IAM | Accesso multi-account |
| --- | --- | --- | --- |
| CreateBucket | Regionale | s3express:CreateBucket | No |
| DeleteBucket | Regionale | s3express:DeleteBucket | No |
| ListDirectoryBuckets | Regionale | s3express:ListAllMyDirectoryBuckets | No |
| PutBucketPolicy | Regionale | s3express:PutBucketPolicy | No |
| GetBucketPolicy | Regionale | s3express:GetBucketPolicy | No |
| DeleteBucketPolicy | Regionale | s3express:DeleteBucketPolicy | No |
| CreateSession | Zonale | s3express:CreateSession | Sì |
| CopyObject | Zonale | s3express:CreateSession | Sì |
| DeleteObject | Zonale | s3express:CreateSession | Sì |
| DeleteObjects | Zonale | s3express:CreateSession | Sì |
| HeadObject | Zonale | s3express:CreateSession | Sì |
| PutObject | Zonale | s3express:CreateSession | Sì |
| RenameObject | Zonale | s3express:CreateSession | No |
| GetObjectAttributes | Zonale | s3express:CreateSession | Sì |
| ListObjectsV2 | Zonale | s3express:CreateSession | Sì |
| HeadBucket | Zonale | s3express:CreateSession | Sì |
| CreateMultipartUpload | Zonale | s3express:CreateSession | Sì |
| UploadPart | Zonale | s3express:CreateSession | Sì |
| UploadPartCopy | Zonale | s3express:CreateSession | Sì |
| CompleteMultipartUpload | Zonale | s3express:CreateSession | Sì |
| AbortMultipartUpload | Zonale | s3express:CreateSession | Sì |
| ListParts | Zonale | s3express:CreateSession | Sì |
| ListMultipartUploads | Zonale | s3express:CreateSession | Sì |
| ListAccessPointsForDirectoryBuckets | Zonale | s3express:ListAccessPointsForDirectoryBuckets | Sì |
| GetAccessPointScope | Zonale | s3express:GetAccessPointScope | Sì |
| PutAccessPointScope | Zonale | s3express:PutAccessPointScope | Sì |
| DeleteAccessPointScope | Zonale | s3express:DeleteAccessPointScope | Sì |
**Topics**
+ [Come vengono autenticate e autorizzate le operazioni API](#s3-express-security-iam-authorization)
+ [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md)
+ [Autorizzazione delle operazioni API dell'endpoint di zona con `CreateSession`](s3-express-create-session.md)
# Autorizzazione delle operazioni API dell'endpoint regionale con IAM
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta gli amministratori a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere autenticato (accesso effettuato) e autorizzato (dotato di autorizzazioni) a utilizzare le risorse Amazon S3 nelle operazioni di bucket di directory e S3 Express One Zone. Puoi utilizzare IAM senza alcun costo aggiuntivo.
Per impostazione predefinita, gli utenti non hanno i permessi per i bucket di directory. Per concedere le autorizzazioni di accesso per i bucket di directory, puoi utilizzare IAM per creare utenti, gruppi o ruoli e collegare le autorizzazioni a tali identità. Per ulteriori informazioni su IAM, consulta [Best Practice per la sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
Per fornire l'accesso, puoi aggiungere autorizzazioni a utenti, gruppi o ruoli tramite i mezzi seguenti:
+ **Utenti e gruppi in AWS IAM Identity Center**: crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-create-a-permission-set.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ **Utenti gestiti in IAM tramite un provider di identità**: crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Creazione di un ruolo per un provider di identità di terze parti (federazione)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) nella *Guida per l'utente di IAM*.
+ **Ruoli e utenti IAM**: crea un ruolo che l'utente è in grado di assumere. Segui le istruzioni in [Creazione di un ruolo per delegare le autorizzazioni a un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) nella *Guida per l'utente di IAM*.
Per ulteriori informazioni su IAM per S3 Express One Zone, consulta i seguenti argomenti.
**Topics**
+ [Principali](#s3-express-security-iam-principals)
+ [Resources](#s3-express-security-iam-resources)
+ [Azioni per i bucket della directory](#s3-express-security-iam-actions)
+ [Policy IAM basate sull'identità per i bucket di directory](s3-express-security-iam-identity-policies.md)
+ [Esempi di policy di bucket per i bucket di directory](s3-express-security-iam-example-bucket-policies.md)
+ [AWS politiche gestite per Amazon S3 Express One Zone](s3-express-one-zone-security-iam-awsmanpol.md)
## Principali
Quando si crea una policy basata sulle risorse per concedere l'accesso ai bucket, è necessario utilizzare l'elemento `Principal` per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy dei bucket di directory, puoi utilizzare i seguenti principali:
+ Un AWS account
+ Un utente IAM
+ Un ruolo IAM:
+ Un utente federato
Per ulteriori informazioni, consulta la sezione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) nella *Guida per l’utente di IAM*.
## Resources
Amazon Resource Names (ARNs) per i bucket di directory contiene lo spazio dei `s3express` nomi Regione AWS, l'ID dell' AWS account e il nome del bucket di directory, che include l'ID della zona. AWS (una zona di disponibilità o un ID di zona locale).
Per accedere ed eseguire azioni sul bucket di directory, è necessario utilizzare il seguente formato ARN:
```
arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3
```
Per accedere ed eseguire azioni sul punto di accesso di un bucket di directory, è necessario utilizzare il seguente formato ARN:
```
arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3
```
Per ulteriori informazioni [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)in merito ARNs, consulta la *IAM User Guide*. Per ulteriori informazioni sulle risorse, consulta [Elementi delle policy JSON IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) nella *Guida per l'utente di IAM*.
## Azioni per i bucket della directory
In una policy IAM basata sull'identità o una policy basata sulle risorse, vengono definite quali azioni S3 sono consentite o negate. Le azioni corrispondono a specifiche operazioni API. Per fornire le autorizzazioni con i bucket di directory, è necessario utilizzare il namespace S3 Express One Zone, denominato `s3express`.
Quando si fornisce l’autorizzazione `s3express:CreateSession`, l’operazione API `CreateSession` recupera un token di sessione temporaneo per le operazioni API (a livello di oggetto) degli endpoint di zona. Il token di sessione restituisce le credenziali utilizzate per tutte le altre operazioni API degli endpoint di zona. Di conseguenza, non è necessario fornire le autorizzazioni di accesso alle operazioni API di zona utilizzando le policy IAM. `CreateSession` abilita l’accesso a tutte le operazioni a livello di oggetto. Per l’elenco delle autorizzazioni e delle operazioni API di zona, consulta [Autenticazione e autorizzazione delle richieste](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-authenticating-authorizing.html).
Per ulteriori informazioni sulle operazioni API `CreateSession`, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) nella *Documentazione di riferimento delle API Amazon Simple Storage Service*.
Puoi specificare le seguenti operazioni nell'elemento `Action` di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una policy, in genere si consente o si nega l'accesso all'operazione API con lo stesso nome. Tuttavia, in alcuni casi, una singola azione controlla l'accesso a più operazioni API. L'accesso alle azioni a livello di bucket può essere concesso solo nelle policy basate sulle identità IAM (utente o ruolo) e non nelle policy dei bucket.
Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta [Configurazione delle policy IAM per l’utilizzo dei punti di accesso per i bucket di directory](access-points-directory-buckets-policies.md).
Per ulteriori informazioni, consulta [Operazioni, risorse e chiavi di condizione per Amazon S3 Express](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html).
# Policy IAM basate sull'identità per i bucket di directory
Prima di poter creare i bucket di directory, è necessario concedere le autorizzazioni necessarie al ruolo o agli utenti di AWS Identity and Access Management (IAM). Questa policy di esempio consente l'accesso all'operazione API `CreateSession` (per l'utilizzo con le operazioni API [a livello di oggetto] degli endpoint zonali) e a tutte le operazioni API (a livello di bucket) degli endpoint regionali. Questa policy consente l'operazione API `CreateSession` per l'utilizzo con tutti i bucket di directory, ma le operazioni API degli endpoint regionali sono consentite solo per l'utilizzo con il bucket di directory specificato. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.
# Esempi di policy di bucket per i bucket di directory
Questa sezione fornisce esempi di policy dei bucket di directory. Per usare queste policy, sostituisci `user input placeholders` con le tue informazioni.
Il seguente esempio di bucket policy consente `111122223333` a Account AWS ID di utilizzare l'operazione `CreateSession` API per il bucket di directory specificato. Quando non viene specificata alcuna modalità di sessione, la sessione verrà creata con il privilegio massimo consentito (`ReadWrite`prima tentativo, poi `ReadOnly` se non consentito). Questa policy concede l'accesso alle operazioni API (a livello di oggetto) degli endpoint zonali.
**Example — Politica Bucket per consentire le chiamate `CreateSession`**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccess",
"Effect": "Allow",
"Resource": "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"s3express:CreateSession"
]
}
]
}
```
**Example – Policy del bucket per consentire chiamate `CreateSession` con una sessione `ReadOnly`**
Il seguente esempio di bucket policy consente `111122223333` all' Account AWS ID di utilizzare l'operazione `CreateSession` API. Questa policy utilizza la chiave di condizione `s3express:SessionMode` con il valore `ReadOnly` per impostare una sessione di sola lettura.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccess",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringEquals": {
"s3express:SessionMode": "ReadOnly"
}
}
}
]
}
```
**Example – Policy del bucket per consentire accesso multi-account per chiamate `CreateSession`**
Il seguente esempio di bucket policy consente `111122223333` all' Account AWS ID di utilizzare l'operazione `CreateSession` API per il bucket di directory specificato di proprietà di ID. Account AWS *`444455556666`*
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccount",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"s3express:CreateSession"
],
"Resource": "arn:aws:s3express:us-west-2:444455556666:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3"
}
]
}
```
# AWS politiche gestite per Amazon S3 Express One Zone
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d’uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l’utente di IAM*.
## AWS politica gestita: AmazonS3ExpressFullAccess
È possibile allegare la policy `AmazonS3ExpressFullAccess` alle identità IAM. Questa politica garantisce l'accesso completo ai bucket e alle operazioni di directory Amazon S3 Express One Zone. Consente tutte le azioni con il prefisso del `s3express` servizio su tutte le risorse.
Questa politica è destinata agli utenti o ai ruoli che necessitano di un accesso illimitato ai bucket di directory. Questa politica copre solo le operazioni di Amazon S3 Express One Zone. Per le operazioni standard di Amazon S3, sono necessarie policy aggiuntive.
Per visualizzare le autorizzazioni per questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ExpressFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ExpressFullAccess.html)il AWS Managed Policy Reference.
## AWS politica gestita: AmazonS3ExpressReadOnlyAccess
È possibile allegare la policy `AmazonS3ExpressReadOnlyAccess` alle identità IAM. Questa politica concede autorizzazioni che consentono `ReadOnly` l'accesso ai bucket di directory Amazon S3 Express One Zone.
**Nota**
L'`CreateSession`azione supporta la chiave di `SessionMode` condizione che può essere impostata su o. `ReadOnly` `ReadWrite` Questo criterio viene utilizzato `SessionMode` per una `ReadOnly` sessione.
Per visualizzare le autorizzazioni per questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ExpressReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ExpressReadOnlyAccess.html)il AWS Managed Policy Reference.
## Amazon S3 Express One Zone: aggiornamenti alle AWS politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon S3 Express One Zone da quando questo servizio ha iniziato a tracciare queste modifiche.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Aggiunta Amazon S3 Express One Zone. `AmazonS3ExpressFullAccess` | Amazon S3 Express One Zone ha aggiunto una nuova policy AWS gestita denominata. `AmazonS3ExpressFullAccess` Questa politica concede autorizzazioni che consentono l'accesso completo ai bucket e alle operazioni di directory Amazon S3 Express One Zone. | 3 aprile 2026 |
| Aggiunta Amazon S3 Express One Zone. `AmazonS3ExpressReadOnlyAccess` | Amazon S3 Express One Zone ha aggiunto una nuova policy AWS gestita denominata. `AmazonS3ExpressReadOnlyAccess` Questa politica concede autorizzazioni che consentono l'accesso in sola lettura ai bucket di directory Amazon S3 Express One Zone. | 3 aprile 2026 |
| Amazon S3 Express One Zone ha iniziato a tracciare le modifiche. | Amazon S3 Express One Zone ha iniziato a tenere traccia delle modifiche alle politiche AWS gestite. | 03 aprile 2026 |
# Autorizzazione delle operazioni API dell'endpoint di zona con `CreateSession`
Per utilizzare le operazioni API endpoint di zona (a livello di oggetto o di piano dati), ad eccezione di `CopyObject` e `HeadBucket`, si utilizza l'operazione API `CreateSession` per creare e gestire sessioni ottimizzate per l'autorizzazione a bassa latenza delle richieste di dati. Per recuperare e utilizzare un token di sessione, è necessario consentire l'azione `s3express:CreateSession` per il bucket della directory in una policy basata sull'identità o in una policy di bucket. Per ulteriori informazioni, consulta [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md). Se accedi a S3 Express One Zone nella console Amazon S3, tramite AWS Command Line Interface AWS CLI() o utilizzando AWS SDKs, S3 Express One Zone crea una sessione per tuo conto. Tuttavia, non è possibile modificare il `SessionMode` parametro quando si utilizza o. AWS CLI AWS SDKs
Se si utilizza la REST API Amazon S3, è possibile quindi utilizzare l'operazione API `CreateSession` per ottenere credenziali di sicurezza temporanee che includono un ID della chiave di accesso, una chiave di accesso segreta, un token di sessione e una data di scadenza. Le credenziali temporanee forniscono le stesse autorizzazioni delle credenziali di sicurezza a lungo termine, come le credenziali degli utenti IAM, ma le credenziali di sicurezza temporanee devono includere un token di sessione.
**Modalità sessione**
Modalità sessione definisce l'ambito della sessione. Se la modalità di sessione non è specificata nella richiesta CreateSession API, l' CreateSession azione tenterà di creare la sessione con il privilegio massimo consentito, tentando `ReadWrite` prima di tutto, quindi ricorrendo `ReadOnly` solo a se non `ReadWrite` è consentito dalle politiche. Nella policy del bucket, puoi specificare la chiave di `s3express:SessionMode` condizione per controllare in modo esplicito chi può creare una sessione or. `ReadWrite` `ReadOnly` Per ulteriori informazioni sulle sessioni `ReadWrite` o `ReadOnly`, consulta il parametro `x-amz-create-session-mode` per [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) nella *Documentazione di riferimento delle API Amazon S3*. Per ulteriori informazioni sulla policy di bucket da creare, consulta [Esempi di policy di bucket per i bucket di directory](s3-express-security-iam-example-bucket-policies.md).
**Token di sessione**
Quando effettui una chiamata utilizzando le credenziali di sicurezza temporanee, la chiamata deve includere un token di sessione. Il token di sessione viene restituito insieme alle credenziali temporanee. L'ambito di un token di sessione viene definito dal bucket di directory e il token di sessione viene utilizzato per verificare che le credenziali di sicurezza siano valide e non siano scadute. Per proteggere le sessioni, le credenziali di sicurezza temporanee scadono dopo 5 minuti.
**`CopyObject` e `HeadBucket`**
L'ambito delle credenziali di sicurezza temporanee viene definito da un bucket di directory specifico e le credenziali vengono abilitate automaticamente per tutte le chiamate API operative zonali (a livello di oggetto) verso un bucket di directory specifico. A differenza di altre operazioni API degli endpoint zonali, `CopyObject` e `HeadBucket` non utilizzano l'autenticazione `CreateSession`. Tutte le richieste `CopyObject` e `HeadBucket` devono essere autenticate e firmate utilizzando credenziali IAM. Tuttavia, `CopyObject` e `HeadBucket` sono ancora autorizzate da `s3express:CreateSession`, come altre operazioni API degli endpoint zonali.
Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service).
# Best practice di sicurezza per i bucket di directory
Quando si lavora con i bucket di directory, occorre tenere conto di una serie di caratteristiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per il tuo ambiente, considerale come consigli utili più che prescrizioni.
## Impostazioni predefinite di Blocco dell'accesso pubblico e Proprietà dell'oggetto
I bucket di directory supportano Blocco dell'accesso pubblico S3 e Proprietà dell'oggetto S3. Queste funzionalità S3 vengono utilizzate per la verifica e la gestione dell'accesso ai bucket e agli oggetti.
Per impostazione predefinita, tutte impostazioni Blocco dell'accesso pubblico per i nuovi bucket sono abilitate. Inoltre, Object Ownership è impostato su bucket owner enforced, il che significa che gli elenchi di controllo degli accessi () ACLs sono disabilitati. Queste impostazioni non possono essere modificate. Per ulteriori informazioni su queste funzionalità, consulta [Blocco dell'accesso pubblico allo storage Amazon S3](access-control-block-public-access.md) e [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).
**Nota**
Non è possibile concedere l'accesso agli oggetti archiviati nei bucket di directory, ma solo ai bucket di directory. Il modello di autorizzazione per S3 Express One Zone è diverso dal modello di autorizzazione per Amazon S3. Per ulteriori informazioni, consulta [Autorizzazione delle operazioni API dell'endpoint di zona con `CreateSession`](s3-express-create-session.md).
## Autenticazione e autorizzazione
I meccanismi di autenticazione e autorizzazione per i bucket della directory sono diversi, a seconda che si facciano richieste alle operazioni API endpoint di zona o alle operazioni API endpoint regionali. Le operazioni API zonali sono operazioni a livello di oggetto (piano dati). Le operazioni API regionali sono operazioni a livello di bucket (piano di controllo (control-plane)).
L'autenticazione e l'autorizzazione delle richieste alle operazioni API dell'endpoint di zona avvengono tramite un nuovo meccanismo basato sulla sessione ``, ottimizzato per fornire la latenza più bassa. Con l'autenticazione basata sulla sessione, AWS SDKs utilizzano l'operazione `CreateSession` API `` per richiedere credenziali temporanee che forniscono un accesso a bassa latenza al tuo bucket di directory. Queste credenziali temporanee sono definite per un bucket di directory specifico e scadono dopo 5 minuti. È possibile utilizzare queste credenziali temporanee per firmare chiamate API (a livello di oggetto) zonali. Per ulteriori informazioni, consulta [Autorizzazione delle operazioni API dell'endpoint di zona con `CreateSession`](s3-express-create-session.md).
**Firma delle richieste con le credenziali per la gestione dei bucket di directory**
Utilizzi le tue credenziali per firmare le richieste API Zonal endpoint (a livello di oggetto) con AWS Signature Version 4, con come nome del servizio. `s3express` Quando si firmano le richieste, viene utilizzata la chiave segreta restituita da `CreateSession` e viene fornito anche il token di sessione con `x-amzn-s3session-token header`. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html).
Il [supporto AWS SDKs](s3-express-SDKs.md#s3-express-getting-started-accessing-sdks) gestisce le credenziali e la firma per tuo conto. Ti consigliamo di AWS SDKs utilizzarlo per aggiornare le credenziali e firmare le richieste per te.
**Richieste di firma con credenziali IAM**
Tutte le chiamate API (a livello di bucket) regionali devono essere autenticate e firmate da credenziali AWS Identity and Access Management (IAM) anziché da credenziali di sessione temporanee. Le credenziali IAM sono costituite dall'ID chiave di accesso e dalla chiave di accesso segreta per le identità IAM. Tutte le richieste `CopyObject` e `HeadBucket` devono essere autenticate e firmate utilizzando credenziali IAM.
Per ottenere la latenza più bassa per le chiamate alle operazioni di zona (a livello di oggetto), si consiglia di utilizzare le credenziali ottenute dalla chiamata a `CreateSession` per firmare le richieste, ad eccezione delle richieste a `CopyObject` e `HeadBucket`.
## Usa AWS CloudTrail
AWS CloudTrail fornisce una registrazione delle azioni intraprese da un utente, da un ruolo o da un utente Servizio AWS in Amazon S3. Puoi utilizzare le informazioni raccolte da CloudTrail per determinare quanto segue:
+ La richiesta effettuata ad Amazon S3
+ L'indirizzo IP dal quale è stata effettuata la richiesta
+ L'utente che ha effettuato la richiesta
+ L'ora in cui è stata effettuata la richiesta
+ Dettagli aggiuntivi relativi alla richiesta
Quando configuri i tuoi Account AWS, gli eventi CloudTrail di gestione sono abilitati per impostazione predefinita. Vengono registrate le seguenti operazioni API regionali degli endpoint (operazioni API a livello di bucket o piano di controllo). CloudTrail
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)
**Nota**
`ListMultipartUploads` è un'operazione API dell'endpoint di zona. Tuttavia, viene registrato come evento di gestione. CloudTrail Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service).
Per impostazione predefinita, i CloudTrail trail non registrano gli eventi relativi ai dati, ma puoi configurare i trail per registrare gli eventi di dati per i bucket di directory che specifichi o per registrare gli eventi di dati per tutti i bucket di directory del tuo account. AWS Vengono registrate le seguenti operazioni API degli endpoint zonali (operazioni API a livello di oggetto o piano dati). CloudTrail
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
[Per ulteriori informazioni sull'utilizzo AWS CloudTrail con i bucket di directory, vedere Registrazione con per i bucket di directory. AWS CloudTrail ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-cloudtrail-logging.html)
### Implementa il monitoraggio utilizzando strumenti di monitoraggio AWS
Il monitoraggio è una parte importante per mantenere l'affidabilità, la sicurezza, la disponibilità e le prestazioni di Amazon S3 e delle tue AWS soluzioni. AWS fornisce diversi strumenti e servizi per aiutarti a monitorare Amazon S3 e gli altri. Servizi AWS Ad esempio, puoi monitorare i CloudWatch parametri di Amazon per Amazon S3, in particolare i parametri `NumberOfObjects` e `BucketSizeBytes` i parametri di storage.
Gli oggetti memorizzati nei bucket di directory non si rifletteranno nelle metriche di archiviazione `BucketSizeBytes` e `NumberOfObjects` per Amazon S3. Tuttavia, le metriche di archiviazione `BucketSizeBytes` e `NumberOfObjects` sono supportate per i bucket di directory. Per visualizzare le metriche desiderate, è possibile differenziare le classi di storage di Amazon S3 specificando una dimensione `StorageType`. Per ulteriori informazioni, consulta [Monitoraggio delle metriche con Amazon CloudWatch](cloudwatch-monitoring.md).
Per ulteriori informazioni, consultare [Monitoraggio delle metriche con Amazon CloudWatch](cloudwatch-monitoring.md) e [Registrazione e monitoraggio in Amazon S3](monitoring-overview.md).