Amazon Simple Storage Service
Entwicklerhandbuch (API-Version 2006-03-01)

Amazon S3-Standardverschlüsselung für S3-Buckets

Die Amazon S3-Standardverschlüsselung bietet eine Methode zum Festlegen des Verhaltens der Standardverschlüsselung für einen S3-Bucket. Sie können die Standardverschlüsselung für einen Bucket so festlegen, dass alle neuen Objekte verschlüsselt werden, wenn sie im Bucket gespeichert werden. Die Verschlüsselung der Objekte erfolgt serverseitig mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder Kundenstammschlüsseln (CMKs), die in AWS Key Management Service (AWS KMS) gespeichert sind.

Wenn Sie die serverseitige Verschlüsselung verwenden, verschlüsselt Amazon S3 ein Objekt vor dem Speichern auf der Festplatte und entschlüsselt es beim Herunterladen der Objekte. Weitere Informationen zum Schutz von Daten mithilfe der serverseitigen Verschlüsselung und der Verwaltung der Verschlüsselungsschlüssel finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung.

Wie richte ich die Amazon S3-Standardverschlüsselung für einen S3-Bucket ein?

Dieser Abschnitt beschreibt, wie die Amazon S3-Standardverschlüsselung eingerichtet wird. Sie können die AWS-SDKs, die Amazon S3-REST-API, die AWS Command Line Interface (AWS CLI) oder die Amazon S3-Konsole verwenden, um die Standardverschlüsselung zu aktivieren. Die einfachste Möglichkeit zum Einrichten der Standardverschlüsselung für einen S3-Bucket bietet die AWS Management Console.

Um die Standardverschlüsselung für einen Bucket einzurichten, können Sie jede dieser Methoden verwenden:

Nachdem Sie die Standardverschlüsselung für einen Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:

  • Es gibt keine Änderung der Verschlüsselung der Objekte, die vor der Aktivierung der Standardverschlüsselung im Bucket vorhanden waren.

  • Wenn Sie Objekte nach der Aktivierung der Standardverschlüsselung hochladen:

    • Wenn die Header Ihrer PUT-Anforderung keine Verschlüsselungsinformationen enthalten, verwendet Amazon S3 die Standardverschlüsselungseinstellungen des Buckets, um die Objekte zu verschlüsseln.

    • Wenn die Header Ihrer PUT-Anforderung Verschlüsselungsinformationen enthalten, verwendet Amazon S3 die Verschlüsselungsinformationen der PUT-Anforderung, um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden.

  • Wenn Sie die SSE-KMS-Option für Ihre Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den Limits der Anforderungen pro Sekunde (RPS) von AWS KMS. Weitere Informationen zu den AWS KMS-Limits und der Anforderung einer Erhöhung des Limits finden Sie unter AWS KMS-Limits.

Verwenden der Standardverschlüsselung mit der Replikation

Nachdem Sie die Standardverschlüsselung für einen Replikations-Ziel-Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:

  • Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standardverschlüsselung des Ziel-Buckets verschlüsselt. Daher unterscheidet sich das ETag des Quell-Objekts von dem ETag des Replikatobjekts. Sie müssen die Anwendungen, die das ETag verwenden, zur Anpassung an diesen Unterschied aktualisieren.

  • Wenn Objekte im Quell-Bucket mithilfe von SSE-S3 oder SSE-KMS verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket dieselbe Verschlüsselung wie die Verschlüsselung des Quellobjekts. Die Einstellungen der Standardverschlüsselung des Ziel-Buckets werden nicht verwendet.

Weitere Informationen über die Verwendung der Standardbeschränkung mit SSE-KMS finden Sie unter Replizieren verschlüsselter Objekte.

Überwachen der Standardverschlüsselung mit CloudTrail und CloudWatch

Sie können die KonfigurationsAnforderungen der Standardverschlüsselung über AWS CloudTrail-Ereignisse verfolgen. Die API-Ereignisnamen, die in CloudTrail-Protokollen verwendet werden, sind PutBucketEncryption, GetBucketEncryption und DeleteBucketEncryption. Zudem können Sie Amazon CloudWatch Events mit Operationen auf S3-Bucket-Ebene als Ereignistyp erstellen. Weitere Informationen zu den CloudTrail-Ereignissen finden Sie unter Wie aktiviere ich die Protokollierung auf Objektebene für einen S3-Bucket mit CloudWatch-Datenereignissen?

Sie können CloudTrail-Protokolle für Amazon S3-Aktionen auf Objektebene für die Verfolgung von PUT- und POST-Anforderungen an Amazon S3 verwenden, um zu überprüfen, ob die Standardverschlüsselung für das Verschlüsseln von Objekten verwendet wird, wenn eingehende PUT-Anforderungen über keine Verschlüsselungs-Header verfügen.

Wenn Amazon S3 ein Objekt mit den Einstellungen der Standardverschlüsselung verschlüsselt, enthält das Protokoll das folgende Feld als Name-Wert-Paar: "SSEApplied":"Default_SSE_S3" or "SSEApplied":"Default_SSE_KMS".

Wenn Amazon S3 ein Objekt mit den PUT-Verschlüsselungs-Headern verschlüsselt, enthält das Protokoll das folgende Feld als Name-Wert-Paar: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS oder "SSEApplied":"SSE_C". Diese Informationen sind für mehrteilige Uploads in den InitiateMultipartUpload-API-Anforderungen enthalten. Weitere Informationen zur Verwendung von CloudTrail und CloudWatch finden Sie unter Überwachung von Amazon S3.