View a markdown version of this page

Utilizzo della crittografia lato server a doppio livello con AWS KMS chiavi DSSE-KMS () - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della crittografia lato server a doppio livello con AWS KMS chiavi DSSE-KMS ()

L'utilizzo della crittografia lato server a doppio livello con AWS Key Management Service (AWS KMS) keys (DSSE-KMS) applica due livelli di crittografia agli oggetti quando vengono caricati su Amazon S3. DSSE-KMS ti aiuta a soddisfare più facilmente gli standard di conformità che richiedono l'applicazione della crittografia multistrato ai tuoi dati e il pieno controllo delle tue chiavi di crittografia.

Il «doppio» DSSE-KMS si riferisce a due livelli indipendenti di AES-256 crittografia applicati ai dati:

  • Primo livello: i dati vengono crittografati utilizzando una chiave di crittografia dei dati unica (DEK) generata da AWS KMS

  • Secondo livello: i dati già crittografati vengono nuovamente crittografati utilizzando una chiave di AES-256 crittografia separata gestita da Amazon S3

Questo differisce dallo standard SSE-KMS, che applica solo un singolo livello di crittografia. L’approccio a doppio livello offre una maggiore sicurezza garantendo che, anche se un livello di crittografia fosse compromesso, i dati rimangano protetti dal secondo livello. Questa sicurezza aggiuntiva comporta un aumento del sovraccarico di elaborazione e delle chiamate AWS KMS API, il che rappresenta un costo più elevato rispetto allo standard. SSE-KMS Per ulteriori informazioni sui DSSE-KMS prezzi, consulta AWS KMS key i concetti nella Guida per gli AWS Key Management Service sviluppatori e AWS KMS i prezzi.

Quando si utilizza DSSE-KMS con un bucket Amazon S3, le AWS KMS chiavi devono trovarsi nella stessa regione del bucket. Inoltre, quando DSSE-KMS viene richiesto per l'oggetto, il checksum S3 che fa parte dei metadati dell'oggetto viene archiviato in forma crittografata. Per ulteriori informazioni sui checksum, consulta Verifica dell'integrità degli oggetti in Amazon S3.

Nota

Le chiavi S3 Bucket non sono supportate per. DSSE-KMS

Le differenze principali tra DSSE-KMS e standard SSE-KMS sono:

  • Livelli di crittografia: DSSE-KMS applica due livelli di AES-256 crittografia indipendenti, mentre lo standard SSE-KMS applica un livello

  • Sicurezza: DSSE-KMS offre una protezione avanzata contro potenziali vulnerabilità di crittografia

  • Conformità: DSSE-KMS aiuta a soddisfare i requisiti normativi che impongono la crittografia multistrato

  • Prestazioni: DSSE-KMS ha una latenza leggermente superiore a causa dell'elaborazione di crittografia aggiuntiva

  • Costo: DSSE-KMS comporta costi più elevati a causa dell'aumento del sovraccarico di calcolo e delle operazioni aggiuntive AWS KMS

Richiede una crittografia lato server a doppio livello con AWS KMS keys (DSSE-KMS)

Per richiedere la crittografia lato server a doppio livello di tutti gli oggetti in uno specifico bucket Amazon S3, è possibile utilizzare una policy del bucket. Ad esempio, la seguente policy sui bucket nega l'autorizzazione upload object (s3:PutObject) a tutti se la richiesta non include un'x-amz-server-side-encryptionintestazione che richiede la crittografia lato server. DSSE-KMS

JSON
{
             "Version":"2012-10-17",
             "Id": "PutObjectPolicy",
             "Statement": [{
                   "Sid": "DenyUnEncryptedObjectUploads",
                   "Effect": "Deny",
                   "Principal": {
                       "AWS": "arn:aws:iam::111122223333:root"
                   },
                   "Action": "s3:PutObject",
                   "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition": {
                      "StringNotEquals": {
                         "s3:x-amz-server-side-encryption": "aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Argomenti