View a markdown version of this page

Utilizzo della crittografia lato server con chiavi fornite dal cliente () SSE-C - Amazon Simple Storage Service
Considerazioni prima dell'uso SSE-C

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server con chiavi fornite dal cliente () SSE-C

Server-side la crittografia riguarda la protezione dei dati archiviati. Server-side la crittografia crittografa solo i dati dell'oggetto, non i metadati dell'oggetto. È possibile utilizzare la crittografia lato server con chiavi fornite dal cliente (SSE-C) nei bucket generici per crittografare i dati con le proprie chiavi di crittografia. Con la chiave di crittografia fornita come parte della richiesta, Amazon S3 gestisce la crittografia dei dati durante le operazioni di scrittura su disco e decrittografia dei dati quando viene eseguito l'accesso agli oggetti. Pertanto, non è necessario mantenere alcun codice per effettuare la crittografia e la decrittografia dei dati. L'unica cosa che rimane da fare è gestire le chiavi di crittografia fornite.

A partire da aprile 2026, SSE-C è disabilitata per impostazione predefinita per tutti i nuovi bucket generici e per i bucket esistenti negli account senza oggetti crittografati. SSE-C La maggior parte dei carichi di lavoro moderni utilizza invece la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) o chiavi AWS KMS (SSE-KMS), poiché SSE-C richiede di fornire la chiave di crittografia a ogni richiesta, rendendo poco pratico condividere l'accesso con altri utenti, ruoli o AWS servizi che operano sui tuoi dati. Per ulteriori informazioni, consulta. SSE-KMS Utilizzo della crittografia lato server con AWS KMS chiavi () SSE-KMS

Se il carico di lavoro lo richiede SSE-C, devi abilitarlo esplicitamente BlockedEncryptionTypes impostando la configurazione NONE di crittografia predefinita del bucket utilizzando l'API. PutBucketEncryption Sebbene SSE-C sia bloccata PutObject CopyObjectPostObject, qualsiasi richiesta di caricamento o replica multiparte che specifichi la SSE-C crittografia viene rifiutata con un errore HTTP 403. AccessDenied Per ulteriori informazioni, consulta Blocco o sblocco SSE-C per un bucket generico.

Non sono previsti costi aggiuntivi per l'utilizzo. SSE-C Tuttavia, le richieste di configurazione e utilizzo comportano SSE-C costi di richiesta standard di Amazon S3. Per informazioni sui prezzi, consulta Prezzi di Amazon S3.

Importante

Amazon Simple Storage Service ora applica una nuova impostazione di sicurezza predefinita per i bucket che disabilita automaticamente la crittografia lato server con chiavi fornite dal cliente (SSE-C) per tutti i nuovi bucket generici. Nell'aprile 2026, Amazon S3 ha distribuito un aggiornamento in modo che tutti i nuovi bucket generici SSE-C abbiano la crittografia disabilitata per tutte le nuove richieste di scrittura. Per i bucket esistenti senza oggetti SSE-C crittografati, Amazon S3 è inoltre SSE-C disabilitato per tutte le nuove richieste di scrittura. Account AWS Con questa modifica, le applicazioni che richiedono la SSE-C crittografia devono essere abilitate deliberatamente SSE-C utilizzando l'operazione PutBucketEncryptionAPI dopo la creazione di un nuovo bucket. Per ulteriori informazioni su questa modifica, vedere. Domande frequenti SSE-C sulle impostazioni predefinite per i nuovi bucket

Considerazioni prima dell'uso SSE-C

  • S3 non memorizza mai la chiave di crittografia quando la usi. SSE-C Devi fornire la chiave di crittografia ogni volta che desideri che qualcuno scarichi i tuoi dati SSE-C crittografati da S3.

    • L'utente gestisce una mappatura per tenere traccia della chiave di crittografia che è stata utilizzata per crittografare un determinato oggetto. L'utente è responsabile della tracciatura di ciascuna chiave di crittografia fornita per ogni determinato oggetto. Ciò significa anche che se perdi la chiave di crittografia, perdi l'oggetto.

    • Dato che l'utente gestisce le chiavi di crittografia lato cliente, gestisce anche eventuali tutele aggiuntive, come la rotazione delle chiavi, lato cliente.

    • Questo design può rendere difficile la condivisione della SSE-C chiave con altri utenti, ruoli o AWS servizi che devono utilizzare i dati. A causa dell'ampio supporto per i SSE-KMS carichi di lavoro più moderni AWS, la maggior parte dei carichi di lavoro moderni non viene utilizzata SSE-C perché manca la flessibilità di SSE-KMS. Per ulteriori informazioniSSE-KMS, consulta Utilizzo della crittografia lato server con le chiavi AWS KMS (). SSE-KMS

    • Ciò significa che gli oggetti crittografati con SSE-C non possono essere decrittografati nativamente dai servizi gestiti. AWS

  • È necessario utilizzare HTTPS per specificare le SSE-C intestazioni nelle richieste.

    • Amazon S3 rifiuta qualsiasi richiesta effettuata tramite HTTP durante l'utilizzo. SSE-C Per motivi di sicurezza, ti consigliamo di considerare compromessa qualsiasi chiave inviata erroneamente tramite HTTP. Elimina la chiave ed esegui la rotazione come opportuno.

  • Se il tuo bucket è abilitato al controllo delle versioni, ogni versione dell'oggetto che carichi può avere una propria chiave di crittografia. L'utente è responsabile della tracciatura di ciascuna chiave di crittografia utilizzata per ogni determinato oggetto.

  • SSE-C non è supportato nella console Amazon S3. Non è possibile utilizzare la console Amazon S3 per caricare un oggetto e specificare SSE-C la crittografia. Inoltre, non è possibile utilizzare la console per aggiornare (ad esempio, modificare la classe di archiviazione o aggiungere metadati) un oggetto esistente archiviato utilizzando. SSE-C

  • SSE-C è bloccato per impostazione predefinita per i nuovi bucket. È necessario abilitare esplicitamente l' SSE-C utilizzo dell'PutBucketEncryptionAPI prima di poter caricare oggetti con SSE-C crittografia. Per ulteriori informazioni, consulta Blocco o sblocco SSE-C per un bucket generico.

Argomenti