Impostazione della crittografia del bucket

Protezione e crittografia dei dati in S3 Vectors

Amazon S3 Vectors offre una durabilità del 99,999999999% (11 nove) per i dati vettoriali, garantendo un’affidabilità eccezionale per le esigenze di archiviazione vettoriale. Questa durabilità è supportata dall’infrastruttura collaudata di Amazon S3, progettata per mantenere l’integrità e la disponibilità dei dati anche in caso di guasti hardware o altre interruzioni.

La protezione dei dati in S3 Vectors comprende controlli di sicurezza a più livelli per proteggere i dati vettoriali sia a riposo sia in transito.

Per impostazione predefinita, tutti i nuovi bucket vettoriali di Amazon S3 Vectors utilizzano la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Quando crei un bucket vettoriale con crittografia SSE-S3, tutte le operazioni successive sul bucket utilizzano automaticamente questa crittografia.

S3 Vectors si integra anche con AWS Key Management Service (KMS) per fornire opzioni flessibili di gestione delle chiavi di crittografia, che consentono di scegliere chiavi gestite dal cliente per il controllo delle autorizzazioni e la verificabilità.

Quando si crea un indice vettoriale all'interno di un bucket vettoriale, è possibile opzionalmente sovrascrivere le impostazioni di crittografia a livello di bucket vettoriale e fornire una configurazione di crittografia (SSE-S3 o KMS) a livello di indice vettoriale. Se non viene specificata una crittografia specifica al momento della creazione dell'indice vettoriale, l'indice erediterà la configurazione di crittografia dal bucket vettoriale a cui appartiene.

Impostazione del comportamento di crittografia lato server per bucket e indici vettoriali Amazon S3

La configurazione della crittografia in S3 Vectors è un’impostazione di sicurezza fondamentale che si specifica quando si crea un bucket vettoriale. Questo approccio garantisce che tutti i dati vettoriali archiviati nel bucket siano crittografati sin dal momento della creazione. Per impostazione predefinita, la configurazione di crittografia si applica a tutti i vettori, gli indici vettoriali e i metadati all'interno del bucket, garantendo una protezione uniforme sull'intero set di dati vettoriali in un bucket vettoriale. È inoltre possibile sovrascrivere le impostazioni di crittografia a livello di bucket vettoriale e fornire una configurazione di crittografia dedicata (SSE-S3 o) a livello di indice vettoriale. AWS KMS

Importante

Le impostazioni di crittografia di un bucket vettoriale non possono essere modificate dopo la creazione del bucket vettoriale. È necessario considerare con attenzione i requisiti di crittografia durante il processo di creazione del bucket, inclusi i requisiti di conformità, le preferenze di gestione delle chiavi e l’integrazione con l’infrastruttura di sicurezza esistente.

Quando si imposta il tipo di crittografia SSE-S3 o SSE-KMS a livello di bucket vettoriale, per impostazione predefinita si applica a tutti gli indici vettoriali e i vettori all'interno del bucket. La configurazione della crittografia si applica non solo ai dati vettoriali, ma anche a tutti i metadati associati.

È inoltre possibile sovrascrivere le impostazioni di crittografia a livello di bucket vettoriale e fornire una configurazione di crittografia dedicata (SSE-S3 o KMS) a livello di indice vettoriale. Le impostazioni di crittografia per un indice vettoriale non possono essere modificate dopo la creazione dell'indice vettoriale.

Utilizzo della crittografia SSE-S3

La crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) offre una soluzione di crittografia semplice ed efficace per bucket AWS vettoriali in cui gestisce tutti gli aspetti del processo di crittografia. Questo metodo di crittografia utilizza la crittografia AES-256 ed è progettato per fornire un elevato livello di sicurezza con un sovraccarico operativo minimo, offrendo alle organizzazioni una crittografia robusta senza la complessità delle esigenze di gestione delle chiavi di crittografia.

Con SSE-S3, Amazon S3 gestisce automaticamente la generazione, la rotazione e la gestione delle chiavi di crittografia. SSE-S3 offre una sicurezza avanzata senza richiedere altre operazioni di configurazione o una gestione continua. I processi di crittografia e decrittografia vengono gestiti automaticamente dal servizio e non sono previsti costi aggiuntivi per l’utilizzo della crittografia SSE-S3, oltre ai prezzi standard di S3 Vectors.

Utilizzo della crittografia SSE-KMS

La crittografia lato server con chiavi del servizio di gestione delle AWS chiavi (SSE-KMS) offre un controllo avanzato sulle chiavi di crittografia e consente una registrazione dettagliata dell'utilizzo delle chiavi. Questo metodo di crittografia è ideale per le organizzazioni con requisiti di conformità rigorosi, per quelle che devono implementare policy di rotazione delle chiavi personalizzate o per ambienti in cui sono richiesti audit trail dettagliati per l’accesso ai dati.

SSE-KMS consente di utilizzare chiavi gestite dal cliente () per crittografare i dati vettoriali. CMKs Le chiavi gestite dal cliente offrono il massimo livello di controllo, consentendo di definire politiche chiave, abilitare o disabilitare le chiavi e monitorarne l'utilizzo. AWS CloudTrail Questo livello di controllo rende SSE-KMS particolarmente adatto per i settori regolamentati o le organizzazioni con requisiti specifici di governance dei dati.

Quando si utilizza SSE-KMS con chiavi gestite dal cliente, si ha il controllo completo su chi può utilizzare le chiavi per crittografare e decrittografare i dati. È possibile creare policy della chiave dettagliate che specificano quali utenti, ruoli o servizi possono accedere alle chiavi.

Considerazioni importanti per SSE-KMS

Requisiti del formato della chiave KMS: S3 Vectors richiede di specificare le chiavi KMS utilizzando il formato del nome della risorsa Amazon (ARN) completo. Le chiavi IDs o gli alias delle chiavi non sono supportati.
Autorizzazioni per il principale del servizio: quando si utilizzano le chiavi gestite dal cliente con S3 Vectors, è necessario fornire esplicitamente le autorizzazioni al principale del servizio S3 Vectors per utilizzare la chiave KMS. Questo requisito garantisce che il servizio possa crittografare e decrittografare i dati automaticamente. Il principale del servizio che richiede l’accesso è indexing.s3vectors.amazonaws.com.

Esempio: policy della chiave KMS per S3 Vectors

Per utilizzare una chiave KMS gestita dal cliente con S3 Vectors, è necessario aggiornare la policy della chiave in modo da includere le autorizzazioni per il principale del servizio S3 Vectors. Di seguito è riportato un esempio completo di policy della chiave.



{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3VectorsServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "indexing.s3vectors.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3vectors:aws-region:123456789012:bucket/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        },
        {
            "Sid": "AllowApplicationAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam:123456789012:role/VectorApplicationRole",
                    "arn:aws:iam:123456789012:user/DataScientist"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3vectors.aws-region.amazonaws.com"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        }
    ]
}

Autorizzazioni KMS richieste:
- Autorizzazione del principale del servizio S3 Vectors:
  - kms:Decrypt: richiesta dal principale del servizio S3 Vectors (indexing.s3vectors.amazonaws.com) sulla chiave gestita dal cliente per mantenere e ottimizzare l’indice nelle operazioni in background
- Autorizzazioni del principale IAM:
  - kms:Decrypt— Obbligatorio per tutte le operazioni a livello vettoriale (PutVectors,,,, GetVectors) QueryVectors DeleteVectors ListVectors
  - kms:GenerateDataKey: richiesta per creare un bucket vettoriale utilizzando la chiave gestita dal cliente
Considerazioni sull’accesso multi-account: quando si implementano modelli di accesso multi-account con SSE-KMS, è necessario assicurarsi che la policy della chiave KMS consenta l’accesso dai principali appropriati in altri account. Il formato dell’ARN della chiave diventa particolarmente importante negli scenari multi-account, in quanto fornisce un riferimento inequivocabile alla chiave indipendentemente dal contesto dell’account da cui si accede.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate sulle risorse di S3 Vectors

Impostazione della crittografia in S3 Vectors