Amazon S3-Standardverschlüsselung für S3-Buckets - Amazon Simple Storage Service

Dieses Handbuch wird nicht mehr aktualisiert. Aktuelle Informationen und Anweisungen finden Sie im neuen Amazon S3-Benutzerhandbuch.

Amazon S3-Standardverschlüsselung für S3-Buckets

Die Amazon S3-Standardverschlüsselung bietet eine Methode zum Festlegen des Verhaltens der Standardverschlüsselung für einen S3-Bucket. Sie können die Standardverschlüsselung für einen Bucket so festlegen, dass alle neuen Objekte verschlüsselt werden, wenn sie im Bucket gespeichert werden. Die Objekte werden mit serverseitiger Verschlüsselung mit Amazon S3-verwalteten Schlüsseln (SSE-S3) oder mit im AWS Key Management Service (AWS KMS) gespeicherten Kundenmasterschlüpsseln (CMKs) verschlüsselt.

Wenn Sie die serverseitige Verschlüsselung verwenden, verschlüsselt Amazon S3 ein Objekt vor dem Speichern auf der Festplatte und entschlüsselt es beim Herunterladen der Objekte. Weitere Informationen zum Schutz von Daten mithilfe der serverseitigen Verschlüsselung und der Verwaltung der Verschlüsselungsschlüssel finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung.

Weitere Informationen zu Berechtigungen, die für die Standardverschlüsselung erforderlich sind, finden Sie unter PutBucketEncryption in der Amazon Simple Storage Service API-Referenz.

Wie richte ich die Amazon S3-Standardverschlüsselung für einen S3-Bucket ein?

Dieser Abschnitt beschreibt, wie die Amazon S3-Standardverschlüsselung eingerichtet wird. Sie können die AWS SDKs, die Amazon S3-REST-API, die AWS-Befehlszeilenschnittstelle (AWS CLI) oder die Amazon S3-Konsole verwenden, um die Standardverschlüsselung zu aktivieren. Die einfachste Möglichkeit zum Einrichten der Standardverschlüsselung für einen S3-Bucket bietet die AWS-Managementkonsole.

Um die Standardverschlüsselung für einen Bucket einzurichten, können Sie jede dieser Methoden verwenden:

Nachdem Sie die Standardverschlüsselung für einen Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:

  • Es gibt keine Änderung der Verschlüsselung der Objekte, die vor der Aktivierung der Standardverschlüsselung im Bucket vorhanden waren.

  • Wenn Sie Objekte nach der Aktivierung der Standardverschlüsselung hochladen:

    • Wenn Ihre PUT-Abfrage-Header keine Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Standardverschlüsselungseinstellungen des Buckets, um die Objekte zu verschlüsseln.

    • Wenn Ihre PUT-Anfrage-Header Verschlüsselungsinformationen mit einschließen, verwendet Amazon S3 die Verschlüsselungsinformationen der PUT-Anfrage, um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden.

  • Wenn Sie die SSE-KMS-Option für Ihre Standardverschlüsselungskonfiguration verwenden, unterliegen Sie den Limits von AWS KMS für die Zahl der Anfragen pro Sekunde (RPS). Weitere Informationen zu den AWS KMS-Limits und der Anforderung einer Erhöhung des Limits finden Sie unter AWS KMS-Limits.

Um Ihre vorhandenen Amazon S3-Objekte mit einer einzigen Anfrage zu verschlüsseln, können Sie Amazon-S3-Batchoperationen verwenden. Sie stellen S3-Batchoperationen eine Liste von Objekten bereit, für die Operationen ausgeführt werden sollen, und Batchoperationen ruft die jeweilige API auf, um die angegebene Operation auszuführen. Mit dem Kopiervorgang können Sie vorhandenen nicht verschlüsselte Objekte kopieren und die neuen verschlüsselten Objekte in denselben Bucket schreiben. Ein einzelner Batchoperationenauftrag kann die angegebene Operation für Milliarden von Objekten ausführen, die Exabytes von Daten enthalten. Weitere Informationen finden Sie unter Ausführen von S3-Batchoperationen.

Sie können vorhandene Objekte auch über die Copy Object-API verschlüsseln. Weitere Informationen finden Sie unter Verschlüsseln vorhandener Amazon S3-Objekte mit der AWS CLI.

Anmerkung

Amazon S3-Buckets mit Standard-Bucket-Verschlüsselung mittels SSE-KMS können nicht als Ziel-Buckets für Amazon S3-Server-Zugriffsprotokollierung verwendet werden. Für Zielbuckets des Serverzugriffsprotokolls wird nur die Standardverschlüsselung SSE-S3 unterstützt.

Verwenden von Verschlüsselung für kontenübergreifende Operationen

Beachten Sie Folgendes, wenn Sie kontoübergreifende Operationen verschlüsseln:

  • Der AWS-verwaltete CMK (aws/s3) wird verwendet, wenn weder zum Zeitpunkt der Anforderung noch über die Standard-Verschlüsselungskonfiguration des Buckets ein CMK-ARN oder -Alias angegeben wird.

  • Wenn Sie S3-Objekte mit AWS Identity and Access Management (IAM)-Prinzipalen hochladen oder darauf zugreifen, die sich im selben AWS-Konto wie Ihr CMK befinden, können Sie das von AWS Managed CMK (aws/s3) verwenden.

  • Verwenden Sie einen vom Kunden verwalteten CMK, wenn Sie kontenübergreifenden Zugriff auf Ihre S3-Objekte gewähren möchten. Sie können die Richtlinie eines vom Kunden verwalteten CMK so konfigurieren, dass der Zugriff von einem anderen Konto aus möglich ist.

  • Wenn Sie Ihren eigenen CMK angeben, sollten Sie einen vollqualifizierten CMK-Schlüssel-ARN verwenden. Beachten Sie bei der Verwendung eines CMK-Alias, dass KMS den Schlüssel innerhalb des Kontos des Anforderers auflöst. Dies kann dazu führen, dass Daten mit einem CMK verschlüsselt werden, der dem Anforderer und nicht dem Bucket-Administrator gehört.

  • Sie müssen einen Schlüssel angeben, für den Ihnen (dem Anforderer) die Berechtigung Encrypt erteilt wurde. Weitere Informationen finden Sie unter Ermöglicht Schlüsselbenutzern die Verwendung eines CMK für kryptografische Operationen.

Weitere Informationen darüber, wann Sie von Kunden verwaltete CMKs und das von AWS verwaltete CMK verwenden sollten, finden Sie unter Soll ich einen von AWS KMS verwalteten Schlüssel oder einen benutzerdefinierten AWS KMS-Schlüssel zur Verschlüsselung meiner Objekte auf Amazon S3 verwenden?.

Verwenden der Standardverschlüsselung mit der Replikation

Nachdem Sie die Standardverschlüsselung für einen Replikations-Ziel-Bucket aktiviert haben, gilt das folgende Verschlüsselungsverhalten:

  • Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standardverschlüsselung des Ziel-Buckets verschlüsselt. Daher unterscheidet sich das ETag des Quell-Objekts von dem ETag des Replikatobjekts. Sie müssen die Anwendungen, die das ETag verwenden, zur Anpassung an diesen Unterschied aktualisieren.

  • Wenn Objekte im Quell-Bucket mithilfe von SSE-S3 oder SSE-KMS verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket dieselbe Verschlüsselung wie die Verschlüsselung des Quellobjekts. Die Einstellungen der Standardverschlüsselung des Ziel-Buckets werden nicht verwendet.

Weitere Informationen über die Verwendung der Standardverschlüsselung mit SSE-KMS finden Sie unter Replizieren verschlüsselter Objekte.

Überwachen der Standardverschlüsselung mit CloudTrail und CloudWatch

Sie können die Konfigurationsanforderungen der Standardverschlüsselung über AWS CloudTrail-Ereignisse verfolgen. Die in CloudTrail-Protokollen verwendeten API-Ereignisnamen lauten PutBucketEncryption, GetBucketEncryption und DeleteBucketEncryption. Sie können auch Amazon CloudWatch Events mit S3-Operationen auf Bucket-Ebene als Ereignistyp erstellen. Weitere Informationen zu den CloudTrail-Ereignissen finden Sie unter Wie aktiviere ich die Protokollierung auf Objektebene für einen S3-Bucket mit CloudTrail-Datenereignissen?

Sie können CloudTrail-Protokolle für Amazon S3-Aktionen auf Objektebene für die Verfolgung von PUT- und POST-Anfragen an Amazon S3 verwenden, um zu überprüfen, ob die Standardverschlüsselung für das Verschlüsseln von Objekten verwendet wird, wenn eingehende PUT-Anfragen über keine Verschlüsselungs-Header verfügen.

Wenn Amazon S3 ein Objekt mit den Einstellungen der Standardverschlüsselung verschlüsselt, enthält das Protokoll das folgende Feld als Namen/Wert-Paar: "SSEApplied":"Default_SSE_S3" or "SSEApplied":"Default_SSE_KMS".

Wenn Amazon S3 ein Objekt mit den PUT-Verschlüsselungs-Headern verschlüsselt, enthält das Protokoll das folgende Feld als Namen/Wert-Paar: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS oder "SSEApplied":"SSE_C". Diese Informationen sind für mehrteilige Uploads in den InitiateMultipartUpload-API-Anforderungen enthalten. Weitere Informationen zur Verwendung von CloudTrail und CloudWatch finden Sie unter Überwachen von Amazon S3.