Amazon S3 memorizza i dati come oggetti all'interno di risorse chiamate bucket. In un bucket è possibile salvare qualsiasi numero di oggetti, nonché scrivere, leggere e cancellare oggetti. Gli oggetti possono avere dimensioni di massimo 5 terabyte.

È possibile controllare l'accesso al bucket (ad es. chi può creare, cancellare e recuperare oggetti nel bucket), visualizzare i registri di accesso per il bucket ed i suoi oggetti e scegliere la regione AWS in cui viene salvato un bucket per ottimizzarne la latenza, minimizzarne i costi o soddisfarne i requisiti normativi.

Inizia a usare AWS oggi stesso

Prova Amazon S3 gratis

Il piano gratuito di AWS include 5 GB di storage, 20.000 richieste GET e 2.000 richieste PUT con Amazon S3.

Visualizza i dettagli del piano gratuito di AWS »

S3_ProductPage_Banner

Amazon S3 è progettato per essere una piattaforma completa di storage. Ogni GB acquistato è sinonimo di valore aggiunto.

Semplicità. Amazon S3 è un servizio progettato per essere semplice grazie alla console di gestione Web, all'applicazione per dispositivi mobili e alla gamma completa di kit SDK e API REST per facilitare l'integrazione con tecnologie di terze parti.

Durabilità. Amazon S3 è disponibile nelle regioni di tutto il mondo e include ridondanza geografica all’interno di ogni regione, oltre alla possibilità di replica tra le regioni. È anche possibile conservare diverse versioni di un oggetto per permetterne il ripristino point-in-time.

Scalabilità. Amazon S3 viene usato da clienti di tutto il mondo per proteggere ogni giorno migliaia di miliardi di oggetti. I costi sono semplici da tenere sotto controllo, ed è possibile completare distribuzioni a livello globale in pochi minuti. Molti settori, ad esempio quelli dei servizi finanziari, della sanità e dell'intrattenimento, usano questo servizio per creare applicazioni per Big Data, analisi, transcodifica e archiviazione.

Sicurezza. Amazon S3 supporta il trasferimento dei dati tramite SSL e la crittografia automatica dei dati dopo il caricamento. È inoltre possibile configurare criteri basati su bucket per gestire le autorizzazioni sugli oggetti e controllare l'accesso ai dati mediante AWS Identity and Access Management (IAM).

Funzione Query in Place. Amazon S3 Select permette di elaborare i dati nell'ambito di un oggetto specifico inattivo nello storage, mentre Amazon Athena e Amazon Redshift Spectrum permettono di eseguire analisi sofisticate direttamente sui dati memorizzati in S3.

Integrazione avanzata con altri servizi AWS per ottenere funzionalità di sicurezza (IAM and KMS), notifica (CloudWatch, CloudTrail e notifiche di eventi), elaborazione (Lambda) e database (EMR, Redshift); tutti servizi ottimizzati per Amazon S3.

Opzioni di migrazione dei dati nel cloud. Lo storage di AWS include molteplici servizi specializzati che semplificano la migrazione dei dati da e verso il cloud.

Gestione dello storage flessibile. S3 Storage Management permette di adottare un approccio basato sui dati a ottimizzazione dello storage, sicurezza ed efficienza. 


Le funzionalità di Amazon S3 Storage Management consentono ai clienti di adottare un approccio basato sui dati a ottimizzazione dello storage, conformità ed efficienza. Tali funzionalità interagiscono tra loro per aiutare a migliorare le prestazioni del carico di lavoro, facilitare la conformità, snellire i flussi di lavoro dei processi aziendali e consentire una suddivisione dello storage più intelligente per ottimizzare i costi e le prestazioni dello storage.

Ulteriori informazioni

L’accesso ad Amazon S3 può essere eseguito semplicemente tramite la console S3, gli SDK o l’integrazione ISV. S3 è supportato dagli SDK AWS per Java, PHP, .NET, Python, Node.js, Ruby, e l'SDK AWS Mobile. Le librerie SDK includono l'API REST sottesa, semplificando le attività di programmazione.

Ulteriori informazioni

Amazon S3 fornisce un'infrastruttura durevole per archiviare dati importanti ed è progettato per una durabilità degli oggetti pari al 99,999999999%. I dati vengono archiviati in modo ridondante in più strutture e in più dispositivi all'interno di ogni struttura.

Ulteriori informazioni

Amazon offre diverse opzioni per la migrazione dei dati nel cloud e rende più semplice e conveniente il trasferimento di grandi volumi di dati da Amazon S3. È possibile scegliere tra diversi metodi per trasferire dati da e verso S3, tra cui ottimizzazione di rete, dischi fisici e connettori di terze parti.

Ulteriori informazioni

Amazon S3 offre vari meccanismi per controllare e monitorare chi può accedere ai propri dati, così come dove e quando. Gli endpoint VPC consentono di creare una connessione sicura senza utilizzare gateway o istanze NAT.

Ulteriori informazioni

Oltre alla classe S3 Standard, offre anche l'opzione Standard – Infrequent Access, che prevede prezzi inferiori per l'archiviazione di dati ad accesso sporadico, e Amazon Glacier, per l'archiviazione di dati inattivi a prezzi molto ridotti.

Ulteriori informazioni

Amazon S3 Select (in fase di anteprima) permette alle applicazioni di scansionare e filtrare i dati senza dover ripristinare gli elementi dello storage, velocizzando le prestazioni e riducendo i costi di analisi avanzate. 

Ulteriori informazioni


Amazon fornisce una suite di strumenti che velocizzano l'analisi e l'elaborazione di grandi volumi di dati nel cloud, e offre diversi modi per ottimizzare e integrare i flussi di lavoro esistenti in Amazon S3. 

Amazon S3 Select è stato progettato per facilitare analisi ed elaborazione di dati nell'ambito di un oggetto in un bucket Amazon S3, in modo facile e a costi ridotti. Offre la possibilità di ripristinare un sottoinsieme dei dati da un oggetto in Amazon S3 tramite espressioni SQL semplici. Le applicazioni non dovranno perciò più occupare risorse di elaborazione per scansionare e filtrare i dati da un oggetto, aumentando potenzialmente le prestazioni delle query del 400% e riducendone i costi anche dell'80%. È sufficiente configurare l'applicazione in modo che utilizzi comandi SELECT invece di GET per sfruttare S3 Select. Durante l'anteprima, è possibile accedere ad S3 Select solo tramite API; il servizio è disponibile solo nelle regioni Stati Uniti orientali (Ohio), Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), UE (Irlanda) e Asia Pacifico (Singapore). La console di S3 e l'interfaccia a riga di comando non saranno disponibili durante l'anteprima.

Amazon Athena è un servizio di query interattivo che semplifica l'analisi di dati in Amazon S3 tramite SQL standard. Athena è un servizio serverless, perciò non occorre gestire alcuna infrastruttura e vengono addebitati solo i costi relativi all'esecuzione delle query.

Athena è facile da usare. Basta reindirizzare ai tuoi dati in Amazon S3, definire lo schema e iniziare a eseguire query utilizzando SQL standard. Nella maggior parte dei casi, i risultati vengono distribuiti entro qualche secondo. Con Athena non sono necessarie attività ETL complesse per preparare i dati per l'analisi. In questo modo è ancora più facile analizzare set di dati di grandi dimensioni con competenze SQL.

Amazon Redshift, inoltre, include Redshift Spectrum, consentendo di eseguire query SQL direttamente su exabyte di dati non strutturati in Amazon S3. Non è necessario procedere a caricamenti o trasformazioni ed è possibile utilizzare formati dati aperti, tra cui Avro, CSV, Grok, ORC, Parquet, RCFile, RegexSerDe, SequenceFile, TextFile e TSV. Redshift Spectrum ricalibra automaticamente la capacità di elaborazione in base ai dati presi in esame, perciò le query in Amazon S3 sono sempre rapide, indipendentemente dal volume di dati interessato.

Amazon S3 facilita la gestione dei propri dati offrendo approfondimenti dettagliati sui percorsi di utilizzo dei dati e strumenti per gestire lo storage con policy di gestione. Tutte queste funzionalità di gestione possono essere facilmente amministrate dalle API di Amazon S3 o dalla Console di gestione AWS. Le varie funzioni di gestione dei dati offerte da Amazon S3 sono descritte di seguito.

Amazon S3 Object Tagging consente di gestire e controllare l’accesso per gli oggetti Amazon S3. I tag di oggetti S3 sono coppie di tipo chiave-valore applicate a oggetti S3 che possono essere create, aggiornate o eliminate in qualunque momento durante la vita dell'oggetto. Essi consentono di creare policy di Identity and Access Management (IAM), configurare policy di ciclo di vita S3 e personalizzare parametri di storage. Questi tag a livello di oggetto possono in seguito gestire trasferimenti fra classi di storage e oggetti a scadenza in background.

L'utilizzo di S3 Inventory, che costituisce un'alternativa pianificata all'API List sincrona di Amazon S3, consente di semplificare e accelerare i flussi di lavoro aziendali e le attività relative ai Big Data. S3 Inventory genera giornalmente o settimanalmente un file flat CSV (Comma Separated Values) o ORC (Optimized Row Columnar) dei tuoi dati e dei metadata corrispondenti per un bucket S3 o un prefisso. Il servizio, inoltre, semplifica le operazioni di audit e reportistica sullo stato di crittografia degli oggetti, per venire incontro alle esigenze normative e di conformità.

Grazie all’analisi a livello di storage, è possibile monitorare la frequenza di accesso degli oggetti all’interno del bucket S3 per poter effettuare la transizione di uno storage ad accesso meno frequente a una classe di storage a costo inferiore. Questa nuova funzionalità analitica di S3 osserva i modelli di utilizzo per identificare lo storage ad accesso meno frequente e consentire così di effettuare la transizione dei giusti oggetti su S3 Standard – IA. Si può configurare una policy di analisi di classe di storage per monitorare tutto il bucket, un prefisso o il tag di un oggetto. Quando S3 Analytics rileva che i dati suggeriti possono essere trasferiti a Standard-IA, è possibile creare una nuova policy del ciclo di vita sulla base di tali risultati. Tale caratteristica include anche un’analisi giornaliera dettagliata dell’utilizzo dello storage su un bucket, prefisso o livello di tag specifico che è possibile esportare su un bucket S3. 

L'integrazione con Amazon S3 CloudWatch aiuta a migliorare l'esperienza dell’utente finale offrendo funzionalità di monitoraggio e creazione di allarmi su un'ampia gamma di parametri differenti. È possibile ricevere parametri di CloudWatch di 1 minuto, impostare allarmi di CloudWatch e accedere ai pannelli di controllo di CloudWatch per visualizzare le operazioni e le prestazioni in tempo reale dello storage Amazon S3. Per le applicazioni per il Web e i dispositivi mobili che dipendono dallo storage nel cloud, consentono di identificare e intervenire in maniera rapida sui problemi operativi. Tali parametri di 1 minuto sono disponibili a livello di bucket S3. È inoltre possibile definire un filtro per i parametri raccolti utilizzando un prefisso o tag di un oggetto condiviso per poter allineare i filtri dei parametri ad applicazioni aziendali, flussi di lavoro oppure organizzazioni interne specifici.

AWS CloudTrail può essere utilizzato per acquisire attività API a livello di bucket (eventi di gestione) e a livello di oggetto (eventi dati) sugli oggetti S3. Gli eventi dati includono operazioni di lettura quali GET, HEAD e Get Object ACL, oltre ad operazioni di scrittura quali PUT e POST. Il dettaglio acquisito fornisce supporto per numerosi tipi di caso d’uso per la sicurezza, l’audit, la governance e la conformità. Per ulteriori informazioni, visita la pagina di AWS CloudTrail.

Amazon S3 consente di assegnare e modificare automaticamente le caratteristiche di prezzo e di prestazioni in base ai dati. È anche in grado di automatizzare attività di gestione del ciclo di vita dei dati, ad esempio il provisioning della capacità, la migrazione automatica a piani di archiviazione meno costosi, le policy di conformità normativa e le eliminazioni programmate.

Via via che i dati "invecchiano", Amazon S3 si occupa di eseguire la loro migrazione in modo automatico e trasparente su un nuovo hardware non appena l'hardware esistente si guasta o quando termina la sua durata di vita. Ciò elimina l'esigenza di effettuare costose, lunghe e rischiose migrazioni di hardware. È possibile definire policy del ciclo di vita direttamente su Amazon S3 per migrare automaticamente i dati sullo storage a costo più ridotto nel corso del loro ciclo di vita. È possibile definire regole che determinino la migrazione automatica degli oggetti di Amazon S3 in Standard – Infrequent Access (Standard – IA) o Amazon Glacier a seconda del momento del ciclo di vita dei dati.È possibile impostare policy del ciclo di vita in base al bucket, prefisso o tag oggetto, in modo da poter specificare la granularità più adatta al caso d’uso.

Quando la durata di vita dei propri dati termina, Amazon S3 offre opzioni programmatiche per eliminazioni ricorrenti di grande scala. Per le eliminazioni ricorrenti, è possibile definire regole per eliminare set di oggetti al termine di un periodo predefinito. Queste regole possono venire applicate agli oggetti memorizzati nelle classi di storage Standard o Standard – IA e agli oggetti archiviati in Amazon Glacier.

È possibile definire anche regole sul ciclo di vita per alcune versioni dei propri oggetti di Amazon S3 per ridurre i costi di storage. Ad esempio, è possibile creare regole per eliminare automaticamente e in modo efficace le versioni precedenti degli oggetti quando non sono più necessarie, in modo da risparmiare sui costi e migliorare le prestazioni. In alternativa, puoi creare regole che determinino la migrazione automatica delle versioni meno recenti degli oggetti in Standard – IA o Amazon Glacier per ridurre ulteriormente i costi di storage.

La replica in più regioni o CRR (Cross-Region Replication) semplifica la replica di nuovi oggetti in regioni diverse per diversi casi d'uso, tra cui abbassamento della latenza, requisiti di conformità e disaster recovery. Questa funzione permette di replicare ogni oggetto caricato nel proprio bucket di origine in un bucket di destinazione che si trova in una regione AWS diversa da quella selezionata. Anche i metadati, le ACL e i tag oggetto associati all'oggetto sono parte della replica. Dopo aver configurato la CRR sul bucket di origine, qualsiasi modifica apportata a dati, metadati, ACL o tag oggetto sull'oggetto attivano una nuova replica sul bucket di destinazione.

Questa funzione si applica alla configurazione a livello di bucket; per abilitarla, è necessario specificare un bucket di destinazione che si trovi in una regione differente. Può essere selezionata qualsiasi regione AWS o qualsiasi classe di storage S3. Inoltre, la replica in più regioni può essere configurata su account diversi e disporre di stack di proprietà differenti tra origine e destinazione. Poiché si applica alla configurazione a livello di bucket, per essere abilitata è necessario specificare un bucket di destinazione che si trovi in una regione differente tramite Console di gestione AWS, API REST, interfaccia a riga di comando o kit SDK AWS. Per abilitare la funzione CRR, la funzione Versioni multiple deve essere attivato sia per i bucket di origine che per quelli di destinazione. Ulteriori informazioni.

Amazon S3 offre varie caratteristiche per gestire e controllare i costi. È possibile utilizzare la Console di gestione AWS o le API di Amazon S3 per applicare tag ai propri bucket di Amazon S3, che consentono di distribuire i costi tra più criteri aziendali, come centri di costo, nomi di applicazioni o proprietari. È possibile visualizzare i superamenti dei costi con i report di allocazione costi di Amazon Web Services, in cui sono riportati l'utilizzo e i costi aggregati dai propri tag bucket. Per ulteriori informazioni sull'allocazione dei costi e l'applicazione di tag, visita la sezione About AWS Account Billing. Per ulteriori informazioni sull'applicazione di tag sui bucket di Amazon S3, visita la sezione sull'applicazione di Bucket Tagging nella Amazon S3 Developer Guide.

È possibile impiegare Amazon CloudWatch per ricevere avvisi di fatturazione che aiutano a monitorare i costi di Amazon S3 inseriti nella propria fattura. Si può configurare un avviso per ricevere la notifica automatica via e-mail quando i costi stimati superano una soglia definita dall'utente. Per ulteriori informazioni sugli avvisi di fatturazione, visita la pagina sugli avvisi di fatturazione o la sezione relativa al Monitor Your Estimated Charges nella Amazon CloudWatch Developer Guide.

È possibile inviare notifiche di eventi di Amazon S3 quando vengono effettuate azioni su oggetti caricati o archiviati su Amazon S3. I messaggi di notifica possono essere inviati attraverso Amazon SNS o Amazon SQS, oppure recapitati direttamente ad AWS Lambda per richiamare le funzioni AWS Lambda.

Le notifiche di eventi di Amazon S3 consentono di eseguire flussi di lavoro, inviare allarmi o eseguire altre azioni in risposta a modifiche negli oggetti salvati in Amazon S3. È possibile utilizzare le notifiche eventi di Amazon S3 per configurare trigger per eseguire azioni quali la transcodifica di file multimediali durante il caricamento, l'elaborazione di file di dati non appena risultano disponibili e la sincronizzazione di oggetti Amazon S3 con altri datastore. È anche possibile configurare le notifiche eventi in base ai prefissi e ai suffissi del nome dell'oggetto. Ad esempio, è possibile scegliere di ricevere notifiche sui nomi di oggetto che iniziano con "images/". Può anche essere usato per mantenere un indice secondario degli oggetti Amazon S3 sincronizzati.

Le notifiche eventi di Amazon S3 vengono impostate a livello del bucket ed è possibile configurarle attraverso la console di Amazon S3, tramite l'API REST o impiegando un SDK AWS.

Per ulteriori informazioni, visita la sezione relativa alla Configuring Notifications for Amazon S3 Events nella Amazon S3 Developer Guide.


Amazon S3 offre un'infrastruttura di storage estremamente durevole, concepita per lo storage di dati mission-critical e primari. Amazon S3 salva in modo ridondante i dati in più strutture e su più dispositivi della stessa struttura. Per incrementare la durabilità dei dati, Amazon S3 li salva in modo sincronizzato su più strutture prima di confermarne il corretto salvataggio. Inoltre, Amazon S3 calcola i checksum su tutto il traffico di rete per rilevare pacchetti di dati corrotti durante il salvataggio o il recupero dei dati. A differenza dei sistemi tradizionali, che possono richiedere laboriosi processi di verifica e di riparazione manuale dei dati, Amazon S3 esegue controlli periodici e sistematici dell'integrità dei dati ed è sviluppato per auto-ripararsi automaticamente.

La classe di storage Standard:

  • È soggetta al contratto sul livello di servizio di Amazon S3 per quanto concerne la disponibilità.
  • È progettata per garantire una durabilità del 99,999999999% e una disponibilità degli oggetti pari al 99,99% per un determinato anno.
  • È concepita per coprire la perdita di dati simultanea in due strutture.

La classe di storage Standard – Infrequent Access:

  • È soggetta al contratto sul livello di servizio di Amazon S3 per quanto concerne la disponibilità.
  • È progettata per garantire una durabilità del 99,999999999% e una disponibilità degli oggetti pari al 99,9% per un determinato anno.
  • È concepita per coprire la perdita di dati simultanea in due strutture.

Amazon Glacier:

  • È progettato per garantire una durabilità degli oggetti del 99,999999999% per un determinato anno.
  • È concepito per coprire la perdita di dati simultanea in due strutture.

Amazon offre una suite di strumenti che velocizzano la migrazione dei dati nel cloud, comprese soluzioni per ottimizzare o sostituire la rete e integrare i flussi di lavoro esistenti con S3.

Amazon S3 Transfer Acceleration è stata progettata per potenziare al massimo la velocità di trasferimento dei dati nei bucket Amazon S3 su lunghe distanze. Funziona trasportando il traffico HTTP e HTTPS su un bridge di rete ottimizzato in funzione tra la edge location di AWS più vicina ai client e il bucket Amazon S3. Non c'è alcun server gateway da gestire, né firewall da aprire o porte speciali e client da integrare; e soprattutto nessun pagamento anticipato. Semplicemente viene modificato l'endpoint di Amazon S3 utilizzato dall'applicazione per trasferire i dati, perciò l'accelerazione viene applicata automaticamente. Sfrutta Transfer Acceleration se:

  • Ti occorre velocizzare i caricamenti da client situati a grandi distanze dal bucket e per istanze in nazioni o continenti diversi.
  • Disponi di client situati al di fuori dei tuoi data center, che usano una connessione pubblica a Internet per collegarsi ad Amazon S3. Per i client all'interno dei tuoi data center, consigliamo AWS Direct Connect.

Ulteriori informazioni

I servizi di trasferimento dei dati AWS utilizzano dispositivi sicuri per trasferire grandi quantità di dati (da petabyte a esabyte) da e verso Amazon S3. AWS Snowball, AWS Snowball Edge e AWS Snowmobile consentono di risolvere alcuni dei problemi più comuni dei trasferimenti di dati su larga scala, tra cui gli elevati costi di rete, la durata del trasferimento e la sicurezza. Trasferire dati tramite è semplice, rapido e sicuro, e può costare fin a un quinto di una connessione a Internet ad alta velocità.

Ulteriori informazioni

I dati o i sistemi di storage presenti a livello locale possono essere facilmente collegati ad Amazon S3 tramite AWS Storage Gateway. Ciò significa che puoi eseguire lo streaming dei tuoi sistemi, software, processi e dati esistenti sul cloud per il backup, la migrazione, lo storage su più livelli o il bursting, con errori minimi.

Ulteriori informazioni

In Amazon S3 sono integrati una serie di partner ISV per semplificare il trasferimento e il recupero dei dati. Per un elenco delle soluzioni dei partner AWS approvate, visita la pagina Soluzioni di partner di storage AWS.


I dati archiviati su Amazon S3 sono protetti in modo predefinito; solo i proprietari di bucket e oggetti possono accedere alle risorse di Amazon S3 da loro creati. Amazon S3 supporta più meccanismi di controllo degli accessi e funzioni di crittografia per garantire sia la sicurezza dei dati in transito che dello storage dei dati a riposo. Le caratteristiche di protezione dei dati di Amazon S3 consentono di proteggere i dati da guasti logici e fisici, prevenendo la perdita di dati a causa di azioni involontarie degli utenti, errori nelle applicazioni e guasti delle infrastrutture. I clienti che devono rispettare standard normativi come PCI e HIPAA possono utilizzare le caratteristiche di protezione dei dati di Amazon S3 come una strategia generale per raggiungere la conformità. Le molteplici caratteristiche di sicurezza e affidabilità dei dati offerte da Amazon S3 sono descritte dettagliatamente di seguito.

Amazon Macie usa l'apprendimento automatico per rilevare, classificare e proteggere automaticamente i dati sensibili in AWS. Amazon Macie riconosce i dati sensibili quali le informazioni che consentono l'identificazione personale o i dati soggetti a proprietà intellettuale e offre pannelli di controllo e avvisi che forniscono visibilità sul percorso in cui sono memorizzati tali dati e su come è possibile accedervi o spostarli. Il servizio è completamente gestito e monitora in modo continuo le attività di accesso ai dati per rilevare eventuali anomalie, generando avvisi dettagliati quando individua rischi di accesso non autorizzato o di divulgazione accidentale di informazioni.

Amazon S3 supporta vari meccanismi che offrono metodi flessibili per controllare chi possa accedere ai propri dati, così come dove e quando. Amazon S3 offre quattro meccanismi di controllo degli accessi: le policy AWS Identity and Access Management (IAM), le ACL (liste di controllo degli accessi), le policy relative ai bucket e l'autenticazione delle stringhe di query. IAM consente alle organizzazioni di creare e gestire più utenti di uno stesso account AWS. Le policy di IAM consentono di concedere agli utenti IAM il controllo granulare del bucket o degli oggetti Amazon S3. Le ACL possono essere utilizzate per aggiungere (concedere) selettivamente determinate autorizzazioni per singoli oggetti. Le policy relative ai bucket di Amazon S3 possono essere impiegate per aggiungere o negare autorizzazioni per alcuni o tutti gli oggetti di un solo bucket. L'autenticazione delle stringhe di query consente di condividere oggetti di Amazon S3 attraverso URL validi per uno specifico periodo di tempo.

La console di S3 mostra i bucket accessibili pubblicamente e avvisa nel caso in cui modifiche a policy o liste di controllo degli accessi dei bucket ne permetterebbero l'accesso pubblico.

È possibile accedere ad Amazon S3 dal cloud privato virtuale di Amazon VPC utilizzando endpoint VPC. Gli endpoint VPC sono semplici da configurare e offrono connettività affidabile ad Amazon S3 senza gateway Internet o istanze NAT (Network Address Translation). Con gli endpoint VPC, i trasferimenti di dati tra Amazon VPC e Amazon S3 avvengono nella rete di Amazon, consentendo una maggiore protezione delle istanze dal traffico di Internet. Gli endpoint di Amazon VPC per Amazon S3 forniscono controlli di sicurezza su più livelli per limitare gli accessi ai bucket S3. È possibile fare in modo che le richieste ai bucket Amazon S3 vengano originate da un cloud privato virtuale tramite un endpoint VPC. Inoltre, è possibile controllare quali bucket, richieste, utenti o gruppi possono accedere a un determinato endpoint VPC.

È possibile caricare o scaricare in modo sicuro i propri dati su Amazon S3 tramite endpoint criptati con SSL impiegando protocolli HTTPS. Amazon S3 è in grado di criptare automaticamente i propri dati a riposo e offre varie opzioni di gestione delle chiavi. I bucket S3 possono essere configurati per consentire la crittografia automatica degli oggetti prima che vengano memorizzati, nel caso in cui le richieste di storage in ingresso non dispongano di informazioni di crittografia. In alternativa, è possibile utilizzare una libreria di crittografia client come il client di crittografia di Amazon S3 per criptare i dati prima di caricarli su Amazon S3.

Se si decide di criptare i dati a riposo con Amazon S3 servendosi della crittografia SSE (crittografia lato server), Amazon S3 cripterà automaticamente i dati in caso di scrittura e li decripterà in caso di recupero. Quando la SSE di Amazon S3 cripta i dati a riposo, impiega chiavi simmetriche a 256 bit dell'Advanced Encryption Standard (AES). Qualora si scelga la crittografia lato server con Amazon S3, vi sono tre opzioni per gestire le chiavi crittografiche.

 

SSE con gestione chiavi Amazon S3 (SSE-S3)

Con SSE-S3, Amazon S3 cripterà i dati a riposo e gestirà le chiavi crittografiche per l'utente.

 

SSE con chiavi fornite dal cliente (SSE-C)

Con SSE-C, Amazon S3 cripterà i dati a riposo impiegando le chiavi crittografiche fornite dall'utente. Per usare SSE-C, basta includere la propria chiave crittografica personalizzata nella richiesta di caricamento: Amazon S3 cripterà l'oggetto impiegando quella chiave e archivierà in modo sicuro i dati a riposo criptati. Analogamente, per recuperare un oggetto criptato, basta fornire la propria chiave crittografica personalizzata e Amazon S3 decripterà l'oggetto come parte del recupero. Amazon S3 non archivia la chiave crittografica ovunque, ma la distrugge subito dopo aver completato le richieste dell'utente.

 

SSE con AWS KMS (SSE-KMS)

Con SSE-KMS, Amazon S3 cripterà i dati a riposo impiegando le chiavi gestite dall'utente nell'AWS Key Management Service (KMS). L'utilizzo di AWS KMS per gestire le chiavi offre vari vantaggi. AWS KMS offre autorizzazioni separate per l'impiego di una chiave master, garantendo un ulteriore livello di controllo e di protezione contro l'accesso non autorizzato all'oggetto salvato su Amazon S3. AWS KMS offre tracce di controllo per visualizzare chi abbia usato la chiave per accedere agli oggetti, a quali oggetti e quando, nonché i tentativi di accesso falliti ai dati da parte di utenti sprovvisti di autorizzazione a decriptare i dati. Inoltre, AWS KMS fornisce controlli di sicurezza aggiuntivi per aiutare il cliente ad essere conforme ai requisiti di settore PCI-DSS, HIPAA/HITECH e FedRAMP.

 

Per ulteriori informazioni, consulta le sezioni relative all'Using Data Encryption nella Amazon S3 Developer Guide.

Amazon S3 supporta anche la registrazione di richieste effettuate sulle proprie risorse di Amazon S3. È possibile configurare il proprio bucket Amazon S3 per creare voci di registro di accesso per le richieste sul bucket stesso. Questi log di accesso al server riportano tutte le richieste effettuate sul bucket o sugli oggetti in esso contenuti e possono essere impiegati a scopi di auditing.

Per ulteriori informazioni sulle caratteristiche di sicurezza disponibili in Amazon S3, consulta la sezione relativa al Access Control nella Amazon S3 Developer Guide. Per una panoramica sulla sicurezza in AWS, incluso Amazon S3, consulta il documento Amazon Web Services: Overview of Security Processes.

Amazon S3 offre ulteriore protezione grazie alla funzione di controllo delle versioni. La funzione di controllo delle versioni può essere impiegata per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Ciò ne consente il semplice recupero sia in seguito ad azioni involontarie dell'utente, sia in seguito a guasti dell'applicazione. Per impostazione predefinita, le richieste recupereranno la versione scritta più recentemente. Le versioni più vecchie di un oggetto possono essere recuperate specificando una versione nella richiesta. Le tariffe di storage sono applicate per ogni versione archiviata. È possibile configurare regole sul ciclo di vita per controllare automaticamente la durata di vita ed il costo per archiviare più versioni.

Amazon S3 offre ulteriore sicurezza con la caratteristica Multi-Factor Authentication Delete. Se abilitata, questa caratteristica richiede l'impiego di un dispositivo con autenticazione a più fattori per eliminare oggetti archiviati su Amazon S3 al fine di proteggere le versioni precedenti degli oggetti.

Abilitando MFA Delete sul tuo bucket di Amazon S3, puoi modificare solo lo stato di controllo delle versioni del bucket oppure eliminare in modo permanente una versione di un oggetto fornendo due metodi di autenticazione insieme:

  • le tue credenziali dell'account AWS;
  • la sequenza di un numero di serie valido, uno spazio e il codice a sei cifre visualizzato sul dispositivo di autenticazione approvato.

Ulteriori informazioni

Amazon S3 supporta l'autenticazione di stringhe di query, che permette di fornire un URL valido solo per un intervallo di tempo definito dall'utente. L'URL a tempo limitato può essere utile in situazioni come i download di software o di altre applicazioni durante i quali si desidera limitare il periodo di tempo per cui gli utenti possono accedere ad un oggetto. Ulteriori informazioni


L'uso di questo servizio è soggetto al contratto per clienti Amazon Web Services.