Amazon Simple Storage Service
Entwicklerhandbuch (API-Version 2006-03-01)

Schützen von Daten mithilfe serverseitiger Verschlüsselung

Die serverseitige Verschlüsselung ist eine Datenverschlüsselung im Speicherzustand, d. h, Amazon S3 verschlüsselt Ihre Daten auf Objektebene, wenn es sie auf Datenträger in seinen Rechenzentren schreibt, und entschlüsselt die Daten für Sie, wenn Sie auf sie zugreifen. Wenn Sie Ihre Anforderung authentifizieren und Zugriffsberechtigungen besitzen, gibt es in Bezug auf die Art und Weise, wie Sie auf verschlüsselte oder nicht verschlüsselte Objekte zugreifen, keinen Unterschied. Wenn Sie beispielsweise Ihre Objekte unter Verwendung einer vorsignierten URL teilen, verhält sich die URL für verschlüsselte und unverschlüsselte Objekte gleich.

Anmerkung

Sie können nicht gleichzeitig unterschiedliche Arten serverseitiger Verschlüsselung auf dasselbe Objekt anwenden.

Sie haben drei sich wechselseitig ausschließende Optionen, abhängig davon, wie Sie die Zugriffsschlüssel verwalten wollen:

  • Verwendung einer serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) – Jedes Objekt wird mit einem eindeutigen Schlüssel verschlüsselt. Als zusätzlicher Schutz wird der eigentliche Schlüssel mit einem Master-Schlüssel verschlüsselt, der regelmäßig rotiert wird. Die serverseitige Amazon S3-Verschlüsselung verwendet eine der stärksten Blockverschlüsselungen, die verfügbar sind, 256-bit Advanced Encryption Standard (AES-256), um Ihre Daten zu verschlüsseln. Weitere Informationen finden Sie unter Daten schützen durch serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3).

  • Verwendung der serverseitigen Verschlüsselung mit in AWS KMS gespeicherten Schlüsseln (SSE-KMS) – Vergleichbar mit SSE-S3, aber mit zusätzlichen Vorteilen und einigen Zusatzgebühren für die Nutzung dieses Service. Es gibt separate Berechtigungen für die Verwendung eines Envelope-Schlüssels (d. h. eines Schüssels, der Ihren Datenverschlüsselungsschlüssel schützt), der zusätzlichen Schutz gegen unerlaubten Zugriff auf Ihre Objekte in Amazon S3 bietet. SSE-KMS stellt Ihnen auch einen Audit-Pfad zur Verfügung, anhand dessen Sie erkennen, wann Ihre Schlüssel verwendet wurden, und von wem. Darüber hinaus haben Sie die Möglichkeit, selbst Verschlüsselungsschlüssel zu erstellen und zu verwalten, oder einen Standardschlüssel zu verwenden, der für Sie, den von Ihnen verwendeten Service und die Region, in der Sie arbeiten, eindeutig ist. Weitere Informationen finden Sie unter Schutz von Daten durch serverseitige Verschlüsselung mit Schlüsseln in AWS KMS gespeicherten Schlüsseln (SSE-KMS).

  • Verwendung serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) – Sie verwalten die Verschlüsselungsschlüssel, und Amazon S3 verwaltet die Verschlüsselung, wenn es auf Datenträger schreibt, und die Entschlüsselung, wenn Sie auf Ihre Objekte zugreifen. Weitere Informationen finden Sie unter Daten schützen durch eine serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C).

Anmerkung

Wenn Sie die Objekte in Ihrem Bucket auflisten, gibt die Listen-API eine Liste aller Objekte zurück, unabhängig davon, ob sie verschlüsselt sind.