Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Best practice di crittografia per Amazon S3 [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati. Per la crittografia lato server in Amazon S3 sono disponibili tre opzioni: + [Crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) + [Crittografia lato server con AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) + [Crittografia lato server con chiavi di crittografia fornire dal cliente (SSE-C)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) Amazon S3 applica la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva in () e. AWS Command Line Interface AWS CLI AWS SDKs Per ulteriori informazioni, consulta [Domande frequenti sulla crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html). Se viene utilizzata la crittografia lato server per crittografare un oggetto al momento del caricamento, aggiungi l'intestazione `x-amz-server-side-encryption` alla richiesta per indicare ad Amazon S3 di crittografare l'oggetto utilizzando SSE-S3, SSE-KMS o SSE-C. Di seguito sono indicati i valori possibili per l'intestazione `x-amz-server-side-encryption`: + `AES256`, che indica ad Amazon S3 di utilizzare le chiavi gestite da Amazon S3. + `aws:kms`, che indica ad Amazon S3 di utilizzare chiavi AWS KMS gestite. + Impostazione del valore come `True` o `False` per SSE-C Per ulteriori informazioni, consulta il *Defense-in-depth requisito 1: i dati devono essere crittografati a riposo e durante il transito* in [How to Use Bucket Policies e Apply to Help Defense-in-Depth to Help Secure Your Amazon S3](https://aws.amazon.com/blogs/security/how-to-use-bucket-policies-and-apply-defense-in-depth-to-help-secure-your-amazon-s3-data/) Data AWS (post del blog). Per la [crittografia lato client](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) in Amazon S3 sono disponibili due opzioni: + Una chiave memorizzata in AWS KMS + Una chiave memorizzata all'interno dell'applicazione Prendi in considerazione le seguenti best practice di crittografia per questo servizio: + In AWS Config, implementa la regola AWS gestita [bucket-server-side-encryptionabilitata da s3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) per convalidare e applicare la crittografia dei bucket S3. + Implementa una policy del bucket Amazon S3 che verifichi che tutti gli oggetti caricati siano crittografati utilizzando la condizione `s3:x-amz-server-side-encryption`. Per ulteriori informazioni, consulta la policy del bucket in [Protezione dei dati con SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) e le istruzioni in [Aggiunta di una policy del bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). + Consenti solo connessioni crittografate su HTTPS (TLS) utilizzando `aws:SecureTransport` sulle policy del bucket S3. Per ulteriori informazioni, consulta [Quale policy sui bucket S3 devo usare](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) per rispettare la regola s3-? AWS Config bucket-ssl-requests-only + Nel AWS Config, implementa la regola bucket-ssl-requests-only AWS gestita da [s3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) per richiedere che le richieste utilizzino SSL. + Utilizza una chiave gestita dal cliente se desideri concedere l'accesso multi-account agli oggetti Amazon S3. Configura la policy della chiave per consentire l'accesso da un altro Account AWS.