Protezione dei dati delle tabelle S3 con la crittografia - Amazon Simple Storage Service

Protezione dei dati delle tabelle S3 con la crittografia

La protezione dei dati ha lo scopo di proteggere i dati sia in transito (durante la trasmissione verso e da Amazon S3), sia quando sono a riposo (ovvero quando sono archiviati su disco nei data center Amazon S3). Tabelle S3 protegge sempre i dati in transito utilizzando Transport Layer Security (1.2 e versioni successive) tramite HTTPS. Per la protezione dei dati a riposo nei bucket di tabelle S3 sono disponibili le opzioni seguenti:

Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)

Tutti i bucket di tabelle Amazon S3 hanno la crittografia configurata per impostazione predefinita. L'opzione predefinita per la crittografia lato server prevede le chiavi gestite da Amazon S3 (SSE-S3). Questa crittografia non comporta costi aggiuntivi e si applica a tutte le tabelle nei bucket di tabelle S3, a meno che si specifichi un’altra forma di crittografia. Ogni oggetto è crittografato con una chiave univoca. Come ulteriore tutela, SSE-S3 esegue la crittografia della chiave con una chiave root che ruota con regolarità. Per crittografare i dati, SSE-S3 utilizza una delle cifrature di blocco più complesse disponibili, lo standard di crittografia avanzata a 256 bit (AES-256).

Crittografia lato server con chiavi AWS KMS (SSE-KMS)

È possibile scegliere di configurare i bucket di tabelle o le tabelle in modo da utilizzare la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). I controlli della sicurezza in AWS KMS possono essere d'aiuto per soddisfare i requisiti di conformità correlati alla crittografia. SSE-KMS offre un maggiore controllo sulle chiavi di crittografia consentendo di effettuare le seguenti operazioni:

  • Creare, visualizzare, modificare, monitorare, abilitare o disabilitare, ruotare e pianificare l’eliminazione delle chiavi KMS.

  • Definire le policy che controllano come e da chi possono essere utilizzate le chiavi KMS.

  • Monitorare l’utilizzo in AWS CloudTrail per verificare che le chiavi KMS vengano utilizzate correttamente.

Tabelle S3 supporta l’utilizzo di chiavi gestite dal cliente in SSE-KMS per crittografare le tabelle. Le chiavi gestite da AWS non sono supportate. Per ulteriori informazioni sull’utilizzo di SSE-KMS per tabelle e bucket di tabelle S3, consulta Utilizzo della crittografia lato server con chiavi AWS KMS (SSE-KMS) nei bucket di tabelle.