View a markdown version of this page

Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets - Amazon Simple Storage Service
SSE-KMS Verschlüsselung für kontoübergreifende Operationen verwendenVerwenden der Standard-Verschlüsselung mit der ReplikationVerwenden von Amazon S3-Bucket-Schlüsseln mit Standard-Verschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in CloudTrail Protokollen, S3-Inventar, S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS SDKs AWS CLI und verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Für alle Amazon S3 S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert, und Objekte werden automatisch mithilfe serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln () SSE-S3 verschlüsselt. Diese Verschlüsselungseinstellung gilt für alle Objekte in Ihren Amazon-S3-Buckets.

Wenn Sie mehr Kontrolle über Ihre Schlüssel benötigen, z. B. bei der Verwaltung der Schlüsselrotation und der Gewährung von Zugriffsrichtlinien, können Sie zwischen serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) oder zweischichtiger serverseitiger Verschlüsselung mit Schlüsseln () wählen. AWS KMS DSSE-KMS Weitere Informationen zum Bearbeiten von KMS-Schlüsseln finden Sie unter Bearbeiten von Schlüsseln im Entwicklerhandbuch zu AWS Key Management Service .

Anmerkung

Wir haben die Buckets geändert, sodass neue Objekt-Uploads automatisch verschlüsselt werden. Wenn Sie zuvor einen Bucket ohne Standardverschlüsselung erstellt haben, aktiviert Amazon S3 standardmäßig die Verschlüsselung für den Bucket, den Sie verwenden SSE-S3. Es werden keine Änderungen an der Standardverschlüsselungskonfiguration für einen vorhandenen Bucket vorgenommen, der bereits vorhanden SSE-S3 oder SSE-KMS konfiguriert ist. Wenn Sie Ihre Objekte mit verschlüsseln möchten SSE-KMS, müssen Sie den Verschlüsselungstyp in Ihren Bucket-Einstellungen ändern. Weitere Informationen finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüssel () SSE-KMS.

Wenn Sie Ihren Bucket so konfigurieren, dass er die Standardverschlüsselung verwendet SSE-KMS, können Sie auch S3 Bucket Keys aktivieren, um den Anforderungsverkehr von Amazon S3 zu reduzieren AWS KMS und die Kosten für die Verschlüsselung zu senken. Weitere Informationen finden Sie unter Senkung der Kosten SSE-KMS mit Amazon S3 Bucket Keys.

Um Buckets zu identifizieren, für die die Standardverschlüsselung SSE-KMS aktiviert ist, können Sie Amazon S3 Storage Lens-Metriken verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. Weitere Informationen finden Sie unter Verwenden von S3 Storage Lens zum Schutz Ihrer Daten.

Wenn Sie die serverseitige Verschlüsselung verwenden, verschlüsselt Amazon S3 ein Objekt vor dem Speichern auf der Festplatte und entschlüsselt es beim Herunterladen des Objekts. Weitere Informationen zum Schutz von Daten mithilfe der serverseitigen Verschlüsselung und der Verwaltung der Verschlüsselungsschlüssel finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

Weitere Informationen zu den Berechtigungen, die für die Standardverschlüsselung erforderlich sind, finden Sie unter PutBucketEncryption in der API-Referenz zu Amazon Simple Storage Service.

Sie können das standardmäßige Verschlüsselungsverhalten von Amazon S3 für einen S3-Bucket mithilfe der Amazon S3 S3-Konsole, der AWS SDKs, der Amazon S3 S3-REST-API und der AWS Befehlszeilenschnittstelle (AWS CLI) konfigurieren.

Verschlüsseln vorhandener Objekte

Zum Verschlüsseln Ihrer vorhandenen nicht verschlüsselten Amazon-S3-Objekte können Sie Amazon S3 Batch Operations verwenden. Sie stellen S3-Batch-Vorgänge eine Liste von Objekten bereit, für die Vorgänge ausgeführt werden sollen, und Batch-Vorgänge ruft die jeweilige API auf, um die angegebene Operation auszuführen. Mit der Operation Batch Operations Copy können Sie vorhandenen nicht verschlüsselte Objekte kopieren und die neuen verschlüsselten Objekte in denselben Bucket schreiben. Ein einzelner Batch-Operations-Auftrag kann die angegebene Operation für Milliarden von Objekten ausführen. Weitere Informationen finden Sie unter Ausführen von Objektoperationen in großem Umfang mit Batch Operations und im Beitrag des AWS Storage Blog Encrypting objects with Amazon S3 Batch Operations.

Sie können auch vorhandene Objekte verschlüsseln, indem Sie die CopyObject API-Operation oder den copy-object AWS CLI Befehl verwenden. Weitere Informationen finden Sie unter AWS CLI und im Beitrag des AWS Storage Blog Encrypting existing objects with Amazon S3 Batch Operations.

Wichtig

Wenn Ihr Bucket ein Zielziel für die Übermittlung von Serverzugriffsprotokollen ist, muss der Bucket von Amazon S3 verwaltete Schlüssel (SSE-S3) verwenden. Wenn der Ziel-Bucket die SSE-KMS Standardverschlüsselung verwendet, werden Protokollobjekte möglicherweise erstellt, aber mit einem Schlüssel verschlüsselt, auf den Sie nicht zugreifen können.

SSE-KMS Verschlüsselung für kontoübergreifende Operationen verwenden

Beachten Sie Folgendes, wenn Sie kontoübergreifende Operationen verschlüsseln:

  • Wenn bei der Anfrage oder über die Standardverschlüsselungskonfiguration des Buckets kein AWS KMS key Amazon-Ressourcenname (ARN) oder Alias bereitgestellt wird, wird Von AWS verwalteter Schlüssel (aws/s3) verwendet.

  • Wenn Sie S3-Objekte hochladen oder auf sie zugreifen, indem Sie AWS Identity and Access Management (IAM) -Prinzipale verwenden, die mit Ihrem KMS-Schlüssel AWS-Konto identisch sind, können Sie () verwenden. Von AWS verwalteter Schlüssel aws/s3

  • Verwenden Sie einen vom Kunden verwalteten Schlüssel, wenn Sie kontoübergreifenden Zugriff auf Ihre S3-Objekte gewähren möchten. Sie können die Richtlinie eines vom Kunden verwalteten Schlüssel so konfigurieren, dass der Zugriff von einem anderen Konto aus möglich ist.

  • Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel angeben, empfehlen wir die Verwendung eines vollständig qualifizierten KMS-Schlüssel-ARN. Wenn Sie stattdessen einen KMS-Schlüsselalias verwenden, AWS KMS wird der Schlüssel im Konto des Anforderers aufgelöst. Dieses Verhalten kann dazu führen, dass Daten mit einem KMS-Schlüssel verschlüsselt werden, der dem Anforderer und nicht dem Bucket-Eigentümer gehört.

  • Sie müssen einen Schlüssel angeben, für den Ihnen (dem Anforderer) die Berechtigung Encrypt erteilt wurde. Weitere Informationen finden Sie unter Schlüssel-Benutzern die Verwendung eines KMS-Schlüssels für kryptografische Operationen gestatten im Entwicklerhandbuch zu AWS Key Management Service .

Weitere Informationen darüber, wann vom Kunden verwaltete Schlüssel und AWS verwaltete KMS-Schlüssel verwendet werden sollten, finden Sie unter Sollte ich einen Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel verwenden, um meine Objekte in Amazon S3 zu verschlüsseln?

Verwenden der Standard-Verschlüsselung mit der Replikation

Wenn Sie die Standard-Verschlüsselung für einen Replikations-Ziel-Bucket aktivieren, gilt das folgende Verschlüsselungsverhalten:

  • Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standard-Verschlüsselung des Ziel-Buckets verschlüsselt. Daher unterscheiden sich die ETags (Entity-Tags) der Quellobjekte von den ETags der Replikatobjekte. Wenn Sie Anwendungen haben, die ETags verwenden, müssen Sie diese Anwendungen aktualisieren, um diesen Unterschied auszugleichen.

  • Wenn Objekte im Quell-Bucket mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3), serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) oder zweischichtiger serverseitiger Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket dieselbe Art der Verschlüsselung wie die Quellobjekte. Die Einstellungen der Standard-Verschlüsselung des Ziel-Buckets werden nicht verwendet.

Weitere Informationen zur Verwendung der Standardverschlüsselung mit finden Sie unter. SSE-KMS Replizieren verschlüsselter Objekte

Verwenden von Amazon S3-Bucket-Schlüsseln mit Standard-Verschlüsselung

Wenn Sie Ihren Bucket so konfigurieren, dass er SSE-KMS als Standardverschlüsselungsverhalten für neue Objekte verwendet wird, können Sie auch S3-Bucket-Keys konfigurieren. S3-Bucket-Keys verringern die Anzahl der Transaktionen von Amazon S3, AWS KMS um die Kosten von zu senken SSE-KMS.

Wenn Sie Ihren Bucket so konfigurieren, dass S3-Bucket Keys für neue Objekte verwendet werden, wird ein Schlüssel SSE-KMS auf Bucket-Ebene AWS KMS generiert, der verwendet wird, um einen eindeutigen Datenschlüssel für Objekte im Bucket zu erstellen. Dieser S3-Bucket-Key wird für einen begrenzten Zeitraum innerhalb von Amazon S3 verwendet, sodass Amazon S3 weniger Anfragen AWS KMS zum Abschluss von Verschlüsselungsvorgängen stellen muss.

Weitere Informationen zur Verwendung von S3-Bucket-Schlüsseln finden Sie unter Verwenden von Amazon-S3-Bucket-Schlüssel.