


 Risoluzione
------------



Il Servizio di gestione delle chiavi AWS (AWS KMS) gestisce la chiave **AWS/S3** di default, ma l’utente ha il pieno controllo su una chiave gestita dal cliente.



###  Usando la chiave KMS AWS/S3 di default



**Nota:** il nome della chiave KMS è **AWS/S3** nella console Amazon S3. Tuttavia, non specificare quel nome o ID se utilizzi l'interfaccia della linea di comando (AWS CLI) di AWS.


Prendi in considerazione l'utilizzo della chiave KMS**AWS/S3** di default se:


* stai caricando o accedendo a oggetti S3 utilizzando i principali AWS Identity e Access Management (IAM) che si trovano nello stesso account AWS della chiave KMS;
* non desideri gestire le policy per la chiave KMS.


Per crittografare un oggetto utilizzando la chiave KMS **aws/s3** predefinita, definisci il metodo di crittografia come SSE-KMS durante il caricamento, ma non specificare una chiave:





```
aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms
```



**Nota:** se ricevi un messaggio di errore durante l'esecuzione dei comandi di AWS CLI, [assicurati di utilizzare la versione più recente di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html#general-latest).



###  Utilizzo di una chiave gestita dal cliente



Valuta l'utilizzo di una chiave gestita dal cliente se:


* si desidera creare, ruotare, disabilitare o definire i controlli di accesso per la chiave.
* Si desidera concedere l'accesso cross-account ai tuoi oggetti S3. È possibile configurare la policy di una chiave gestita dal cliente per permettere l'accesso da un altro account.


Per crittografare un oggetto utilizzando una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk), definire il metodo di crittografia come SSE-KMS durante il caricamento. Quindi, specifica la chiave gestita dal cliente come chiave (**—sse-kms-key-id**):





```
aws s3 cp ./mytextfile.txt s3://DOC-EXAMPLE-BUCKET/ --sse aws:kms --sse-kms-key-id testkey
```



per controllare l'accesso alla chiave gestita dal cliente, modificare la [policy chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). Per ulteriori informazioni su come creare una policy chiave, consulta [Creare una policy chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html).





---




 Informazioni correlate
-----------------------



[Protezione dei dati utilizzando la crittografia lato server](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)


[Come Amazon Simple Storage Service (Amazon S3) utilizza AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html)







Desidero utilizzare la crittografia lato server con AWS Key Management Service (SSE-KMS) per i miei oggetti archiviati in Amazon Simple Storage Service (Amazon S3). Devo utilizzare una chiave AWS KMS gestita dal cliente? Oppure, devo usare la chiave gestita da AWS KMS chiamata aws/s3? Qual è la differenza tra i due?

Utilizzo di chiavi gestite da AWS KMS e chiavi gestite dal cliente per crittografare gli oggetti S3

Devo utilizzare una chiave gestita da AWS KMS o una chiave gestita dal cliente KMS per crittografare i miei oggetti su Amazon S3?

Archiviazione

Perché gli utenti multi-account ricevono errori di accesso negato quando cercano di accedere a oggetti S3 crittografati da una chiave AWS KMS personalizzata?

Devo utilizzare una chiave gestita da AWS KMS o una chiave gestita dal cliente KMS per crittografare i miei oggetti su Amazon S3?

Risoluzione

Usando la chiave KMS AWS/S3 di default

Utilizzo di una chiave gestita dal cliente

Informazioni correlate

Contenuto pertinente