Best practice di crittografia per Amazon S3 - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di crittografia per Amazon S3

Amazon Simple Storage Service (Amazon S3) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.

Per la crittografia lato server in Amazon S3 sono disponibili tre opzioni:

Amazon S3 applica la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva in () e. AWS Command Line Interface AWS CLI AWS SDKs Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.

Se viene utilizzata la crittografia lato server per crittografare un oggetto al momento del caricamento, aggiungi l'intestazione x-amz-server-side-encryption alla richiesta per indicare ad Amazon S3 di crittografare l'oggetto utilizzando SSE-S3, SSE-KMS o SSE-C. Di seguito sono indicati i valori possibili per l'intestazione x-amz-server-side-encryption:

  • AES256, che indica ad Amazon S3 di utilizzare le chiavi gestite da Amazon S3.

  • aws:kms, che indica ad Amazon S3 di utilizzare chiavi AWS KMS gestite.

  • Impostazione del valore come True o False per SSE-C

Per ulteriori informazioni, consulta il Defense-in-depth requisito 1: i dati devono essere crittografati a riposo e durante il transito in How to Use Bucket Policies e Apply to Help Defense-in-Depth to Help Secure Your Amazon S3 Data AWS (post del blog).

Per la crittografia lato client in Amazon S3 sono disponibili due opzioni:

  • Una chiave memorizzata in AWS KMS

  • Una chiave memorizzata all'interno dell'applicazione

Prendi in considerazione le seguenti best practice di crittografia per questo servizio:

  • In AWS Config, implementa la regola AWS gestita bucket-server-side-encryptionabilitata da s3 per convalidare e applicare la crittografia dei bucket S3.

  • Implementa una policy del bucket Amazon S3 che verifichi che tutti gli oggetti caricati siano crittografati utilizzando la condizione s3:x-amz-server-side-encryption. Per ulteriori informazioni, consulta la policy del bucket in Protezione dei dati con SSE-S3 e le istruzioni in Aggiunta di una policy del bucket.

  • Consenti solo connessioni crittografate su HTTPS (TLS) utilizzando aws:SecureTransport sulle policy del bucket S3. Per ulteriori informazioni, consulta Quale policy sui bucket S3 devo usare per rispettare la regola s3-? AWS Config bucket-ssl-requests-only

  • Nel AWS Config, implementa la regola bucket-ssl-requests-only AWS gestita da s3 per richiedere che le richieste utilizzino SSL.

  • Utilizza una chiave gestita dal cliente se desideri concedere l'accesso multi-account agli oggetti Amazon S3. Configura la policy della chiave per consentire l'accesso da un altro Account AWS.