Protezione e crittografia dei dati in S3 Vectors - Amazon Simple Storage Service
Impostazione della crittografia del bucket

Protezione e crittografia dei dati in S3 Vectors

Nota

Amazon S3 Vectors è disponibile in versione di anteprima per Amazon Simple Storage Service ed è soggetto a modifiche.

Amazon S3 Vectors offre una durabilità del 99,999999999% (11 nove) per i dati vettoriali, garantendo un’affidabilità eccezionale per le esigenze di archiviazione vettoriale. Questa durabilità è supportata dall’infrastruttura collaudata di Amazon S3, progettata per mantenere l’integrità e la disponibilità dei dati anche in caso di guasti hardware o altre interruzioni.

La protezione dei dati in S3 Vectors comprende controlli di sicurezza a più livelli per proteggere i dati vettoriali sia a riposo sia in transito.

Per impostazione predefinita, tutti i nuovi bucket vettoriali di Amazon S3 Vectors utilizzano la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Quando crei un bucket vettoriale con crittografia SSE-S3, tutte le operazioni successive sul bucket utilizzano automaticamente questa crittografia.

S3 Vectors si integra inoltre con Servizio AWS di gestione delle chiavi (KMS) per fornire opzioni flessibili di gestione delle chiavi di crittografia, che consentono di scegliere le chiavi gestite dal cliente per il controllo delle autorizzazioni e la verificabilità.

Impostazione del comportamento della crittografia lato server per bucket vettoriali Amazon S3

La configurazione della crittografia in S3 Vectors è un’impostazione di sicurezza fondamentale che si specifica quando si crea un bucket vettoriale. Questo approccio garantisce che tutti i dati vettoriali archiviati nel bucket siano crittografati sin dal momento della creazione. La configurazione della crittografia si applica a tutti i vettori, gli indici vettoriali e i metadati all’interno del bucket, fornendo una protezione coerente sull’intero set di dati vettoriali in un bucket vettoriale.

Importante

Le impostazioni di crittografia di un bucket vettoriale non possono essere modificate dopo la creazione del bucket vettoriale. È necessario considerare con attenzione i requisiti di crittografia durante il processo di creazione del bucket, inclusi i requisiti di conformità, le preferenze di gestione delle chiavi e l’integrazione con l’infrastruttura di sicurezza esistente.

Il tipo di crittografia SSE-S3 o SSE-KMS è impostato a livello di bucket vettoriali e si applica a tutti gli indici vettoriali e a tutti i vettori all’interno del bucket. Non è possibile utilizzare impostazioni di crittografia diverse per i singoli indici all’interno di un bucket. La configurazione della crittografia si applica non solo ai dati vettoriali, ma anche a tutti i metadati associati.

Utilizzo della crittografia SSE-S3

La crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3) offre una soluzione di crittografia semplice ed efficace per i bucket vettoriali AWS in cui è possibile gestire tutti gli aspetti del processo di crittografia. Questo metodo di crittografia utilizza la crittografia AES-256 ed è progettato per fornire un elevato livello di sicurezza con un sovraccarico operativo minimo, offrendo alle organizzazioni una crittografia robusta senza la complessità delle esigenze di gestione delle chiavi di crittografia.

Con SSE-S3, Amazon S3 gestisce automaticamente la generazione, la rotazione e la gestione delle chiavi di crittografia. SSE-S3 offre una sicurezza avanzata senza richiedere altre operazioni di configurazione o una gestione continua. I processi di crittografia e decrittografia vengono gestiti automaticamente dal servizio e non sono previsti costi aggiuntivi per l’utilizzo della crittografia SSE-S3, oltre ai prezzi standard di S3 Vectors.

Utilizzo della crittografia SSE-KMS

La crittografia lato server con Servizio AWS di gestione delle chiavi (SSE-KMS) offre un controllo avanzato sulle chiavi di crittografia e consente una registrazione dei log dettagliata dell’utilizzo delle chiavi. Questo metodo di crittografia è ideale per le organizzazioni con requisiti di conformità rigorosi, per quelle che devono implementare policy di rotazione delle chiavi personalizzate o per ambienti in cui sono richiesti audit trail dettagliati per l’accesso ai dati.

SSE-KMS consente di utilizzare chiavi gestite dal cliente (CMK) per crittografare i dati vettoriali. Le chiavi gestite dal cliente offrono il massimo livello di controllo, consentendo di definire le policy della chiave, abilitare o disabilitare le chiavi e monitorare l’utilizzo delle chiavi tramite AWS CloudTrail. Questo livello di controllo rende SSE-KMS particolarmente adatto per i settori regolamentati o le organizzazioni con requisiti specifici di governance dei dati.

Quando si utilizza SSE-KMS con chiavi gestite dal cliente, si ha il controllo completo su chi può utilizzare le chiavi per crittografare e decrittografare i dati. È possibile creare policy della chiave dettagliate che specificano quali utenti, ruoli o servizi possono accedere alle chiavi.

Considerazioni importanti per SSE-KMS

  • Requisiti del formato della chiave KMS: S3 Vectors richiede di specificare le chiavi KMS utilizzando il formato del nome della risorsa Amazon (ARN) completo. Gli ID o gli alias della chiave non sono supportati.

  • Autorizzazioni per il principale del servizio: quando si utilizzano le chiavi gestite dal cliente con S3 Vectors, è necessario fornire esplicitamente le autorizzazioni al principale del servizio S3 Vectors per utilizzare la chiave KMS. Questo requisito garantisce che il servizio possa crittografare e decrittografare i dati automaticamente. Il principale del servizio che richiede l’accesso è indexing.s3vectors.amazonaws.com.

Esempio: policy della chiave KMS per S3 Vectors

Per utilizzare una chiave KMS gestita dal cliente con S3 Vectors, è necessario aggiornare la policy della chiave in modo da includere le autorizzazioni per il principale del servizio S3 Vectors. Di seguito è riportato un esempio completo di policy della chiave.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3VectorsServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "indexing.s3vectors.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3vectors:aws-region:123456789012:bucket/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        },
        {
            "Sid": "AllowApplicationAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam:123456789012:role/VectorApplicationRole",
                    "arn:aws:iam:123456789012:user/DataScientist"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3vectors.aws-region.amazonaws.com"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        }
    ]
}

  • Autorizzazioni KMS richieste:

    • Autorizzazione del principale del servizio S3 Vectors:

      • kms:Decrypt: richiesta dal principale del servizio S3 Vectors (indexing.s3vectors.amazonaws.com) sulla chiave gestita dal cliente per mantenere e ottimizzare l’indice nelle operazioni in background

    • Autorizzazioni del principale IAM:

  • Considerazioni sull’accesso multi-account: quando si implementano modelli di accesso multi-account con SSE-KMS, è necessario assicurarsi che la policy della chiave KMS consenta l’accesso dai principali appropriati in altri account. Il formato dell’ARN della chiave diventa particolarmente importante negli scenari multi-account, in quanto fornisce un riferimento inequivocabile alla chiave indipendentemente dal contesto dell’account da cui si accede.